3.4. Gestion des autorisations de connexion pour les utilisateurs du domaine
Par défaut, le contrôle d'accès côté domaine est appliqué, ce qui signifie que les politiques de connexion pour les utilisateurs d'Active Directory (AD) sont définies dans le domaine AD lui-même. Ce comportement par défaut peut être remplacé par un contrôle d'accès côté client. Avec le contrôle d'accès côté client, les autorisations de connexion sont définies par les stratégies locales uniquement.
Si un domaine applique un contrôle d'accès côté client, vous pouvez utiliser le site realmd
pour configurer des règles de base d'autorisation ou de refus d'accès pour les utilisateurs de ce domaine.
Les règles d'accès autorisent ou refusent l'accès à tous les services du système. Des règles d'accès plus spécifiques doivent être définies sur une ressource spécifique du système ou dans le domaine.
3.4.1. Permettre l'accès aux utilisateurs au sein d'un domaine
Par défaut, les stratégies de connexion pour les utilisateurs d'Active Directory (AD) sont définies dans le domaine AD lui-même. Cette section explique comment remplacer ce comportement par défaut et configurer un hôte RHEL pour permettre l'accès des utilisateurs au sein d'un domaine AD.
Il n'est pas recommandé d'autoriser l'accès à tous par défaut tout en le refusant à des utilisateurs spécifiques à l'aide de realm permit -x
. Red Hat recommande plutôt de maintenir une politique de non-accès par défaut pour tous les utilisateurs et de n'accorder l'accès qu'à des utilisateurs sélectionnés à l'aide de realm permit.
Conditions préalables
- Votre système RHEL est membre du domaine Active Directory.
Procédure
Accorder l'accès à tous les utilisateurs :
# realm permit --all
Accorder l'accès à des utilisateurs spécifiques :
$ realm permit aduser01@example.com $ realm permit 'AD.EXAMPLE.COM\aduser01'
Actuellement, vous ne pouvez autoriser l'accès qu'aux utilisateurs des domaines primaires et non aux utilisateurs des domaines de confiance. Cela est dû au fait que la connexion de l'utilisateur doit contenir le nom de domaine et que SSSD ne peut actuellement pas fournir à realmd
des informations sur les domaines enfants disponibles.
Verification steps
Utilisez SSH pour vous connecter au serveur en tant qu'utilisateur
aduser01@example.com
:$ ssh aduser01@example.com@server_name [aduser01@example.com@server_name ~]$
Utilisez la commande ssh une seconde fois pour accéder au même serveur, cette fois-ci en tant qu'utilisateur
aduser02@example.com
:$ ssh aduser02@example.com@server_name Authentication failed.
Remarquez que l'utilisateur aduser02@example.com
se voit refuser l'accès au système. Vous n'avez accordé l'autorisation de se connecter au système qu'à l'utilisateur aduser01@example.com
. Tous les autres utilisateurs de ce domaine Active Directory sont rejetés en raison de la politique de connexion spécifiée.
Si vous attribuez la valeur true à use_fully_qualified_names
dans le fichier sssd.conf
, toutes les requêtes doivent utiliser le nom de domaine complet. En revanche, si vous attribuez la valeur false à use_fully_qualified_names
, il est possible d'utiliser le nom pleinement qualifié dans les requêtes, mais seule la version simplifiée est affichée dans le résultat.
Ressources supplémentaires
-
Voir la page de manuel
realm(8)
.
3.4.2. Refuser l'accès aux utilisateurs d'un domaine
Par défaut, les stratégies de connexion des utilisateurs Active Directory (AD) sont définies dans le domaine AD lui-même. Cette section explique comment remplacer ce comportement par défaut et configurer un hôte RHEL pour qu'il refuse l'accès aux utilisateurs d'un domaine AD.
Il est plus sûr de n'autoriser l'accès qu'à des utilisateurs ou groupes spécifiques que de refuser l'accès à certains, tout en l'autorisant à tous les autres. Par conséquent, il n'est pas recommandé d'autoriser l'accès à tous par défaut tout en le refusant à des utilisateurs spécifiques avec l'option realm permit -x
. Red Hat recommande plutôt de maintenir une politique de non-accès par défaut pour tous les utilisateurs et de n'accorder l'accès qu'à des utilisateurs sélectionnés à l'aide de realm permit.
Conditions préalables
- Votre système RHEL est membre du domaine Active Directory.
Procédure
Refuser l'accès à tous les utilisateurs du domaine :
# realm deny --all
Cette commande empêche les comptes
realm
de se connecter à la machine locale. Utilisezrealm permit
pour limiter la connexion à des comptes spécifiques.Vérifiez que l'adresse
login-policy
de l'utilisateur du domaine est définie surdeny-any-login
:[root@replica1 ~]# realm list example.net type: kerberos realm-name: EXAMPLE.NET domain-name: example.net configured: kerberos-member server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools login-formats: %U@example.net login-policy: deny-any-login
Refuser l'accès à des utilisateurs spécifiques en utilisant l'option
-x
:$ realm permit -x 'AD.EXAMPLE.COM\aduser02'
Verification steps
Utilisez SSH pour vous connecter au serveur en tant qu'utilisateur
aduser01@example.net
.$ ssh aduser01@example.net@server_name Authentication failed.
Si vous attribuez la valeur true à use_fully_qualified_names
dans le fichier sssd.conf
, toutes les requêtes doivent utiliser le nom de domaine complet. En revanche, si vous attribuez la valeur false à use_fully_qualified_names
, il est possible d'utiliser le nom pleinement qualifié dans les requêtes, mais seule la version simplifiée est affichée dans le résultat.
Ressources supplémentaires
-
Voir la page de manuel
realm(8)
.