第23章 ポリシー: グループポリシーオブジェクトアクセス制御
グループポリシーは Microsoft Windows の機能の 1 つで、AD 環境におけるユーザーおよびコンピューターのポリシーを管理者が 1 か所で管理できるようにします。グループポリシーオブジェクト (GPO) は、ポリシー設定 (名前と値のペアなど) の集合で、これらはドメインコントローラー (DC) に保存され、コンピューターやユーザーなどのポリシーターゲットに適用されます。
AD 環境におけるコンピューターベースのアクセス制御の管理には、Windows ログオン権限 に関連する GPO ポリシー設定が一般的に使用されます。SSSD は、ホストシステムおよび AD ユーザーに適用される GPO を取得できます。取得した GPO 設定に基づいて、ユーザーが特定のホストにログオンできるかどうかを判断します。したがって、SSSD が提供する GPO ベースのアクセス制御を使用すると、管理者は Red Hat Enterprise Linux と Windows クライアントの両方が AD DC に集中的に許可されるログインポリシーを定義できます。
注記
SSSD は、コンピューターベースのアクセス制御にのみ GPO の使用を許可します。現在、その他の GPO 関連のアクセス制御オプションはサポートされていません。
警告
SSSD は、サイト、ドメイン、または AD 組織ユニット (OU) 全体に適用されるルールのみを処理することに注意してください。SSSD 対応 GPO ベースのアクセス制御を特定のマシンに適用する場合は、AD ドメインで新しい OU を作成し、マシンを OU に移動してから GPO をこの OU にリンクできます。
23.1. GPO ベースのアクセス制御の設定
GPO ベースのアクセス制御は
/etc/sssd/sssd.conf
ファイルで設定できます。ad_gpo_access_control
オプションは、GPO ベースのアクセス制御を実行するモードを指定します。以下の値を使用できます。
ad_gpo_access_control = permissive
permissive
の場合は、GPO ベースのアクセス制御は評価されますが、強制されません。syslog
メッセージは、アクセスが拒否される度に復元されます。これはデフォルトの設定です。ad_gpo_access_control = enforcing
enforcing
の場合は、GPO ベースのアクセス制御は評価され、強制されます。ad_gpo_access_control = disabled
disabled
の場合は、GPO ベースのアクセス制御は評価も強制もされません。
重要
GPO ベースのアクセス制御を使用し、Enforcing モードに
ad_gpo_access_control
を設定する前に、ad_gpo_access_control
を Permissive モードに設定して、ログを調べることが推奨されます。syslog
メッセージを見直すことで現行の GPO 設定をテスト、調節してからその後で enforcing モードに設定することができます。
GPO ベースのアクセス制御に関連する以下のパラメーターも
sssd.conf
ファイルで指定することができます。
ad_gpo_map_*
オプションとad_gpo_default_right
オプションは、特定の Windows ログイン権限にマッピングされる PAM サービスを設定します。ad_gpo_cache_timeout
オプションでは、後続のアクセス制御リクエストが DC から新たに取得するのではなく、キャッシュに保存されているファイルを再利用可能な間隔を指定します。
使用できる GPO パラメーターの詳細なリストと、その説明およびデフォルト値は、sssd-ad(5) の man ページを参照してください。