4.6.3. GPO 強制を制御する SSSD オプションのリスト

/etc/sssd/sssd.conf にある SSSD パラメーターは、Group Policy Object (GPO) の適用を制御します。これらの設定により、管理者は厳格な監査と寛容な監査を切り替えたり、デフォルト拒否セキュリティーモデルを適用したりすることができます。

ad_gpo_access_control オプション: /etc/sssd/sssd.conf ファイルに ad_gpo_access_control オプションを設定して、GPO ベースのアクセス制御が動作する 3 種類のモードを選択できます。

Expand

表4.2 ad_gpo_access_control の値の表
ad_gpo_access_control の値	動作
`enforcing`	GPO ベースのアクセス制御ルールが評価され、適用されます。これは、RHEL 8 ではデフォルトの設定です。
`permissive`	GPO ベースのアクセス制御ルールは評価されますが、強制されません。`syslog` メッセージは、アクセスが拒否される度に記録されます。これは RHEL 7 のデフォルト設定です。このモードは、ユーザーがログインを継続できるように、ポリシーの調整をテストするのに適しています。
`disabled`	GPO ベースのアクセス制御ルールは、評価も強制もされません。

ad_gpo_implicit_deny オプション: ad_gpo_implicit_deny オプションは、デフォルトで False に設定されます。このデフォルトの状態では、適用可能な GPO が見つからない場合にユーザーがアクセスが許可されます。このオプションを True に設定する場合は、GPO ルールを使用したユーザーアクセスを明示的に許可する必要があります。

この機能を使用してセキュリティーを強化することはできますが、アクセスを意図せずに拒否しないように注意してください。Red Hat は、ad_gpo_access_control が permissive に設定されている間に、この機能をテストすることを推奨します。

以下の表では、AD サーバー側で定義したログイン権限と ad_gpo_implicit_deny の値に基づいてユーザーがアクセスを許可または拒否されるタイミングを表しています。

Expand

表4.3 ad_gpo_implicit_deny が False (デフォルト) に設定されているログイン動作
allow-rules	deny-rules	結果
なし	なし	すべてのユーザーが許可
なし	あり	deny-rules でないユーザーのみが許可
あり	なし	allow-rules のユーザーのみを許可
あり	あり	allow-rules のユーザーのみが許可されますが、拒否ルールでは許可されません

Expand

表4.4 ad_gpo_implicit_deny が True に設定されているログイン動作
allow-rules	deny-rules	結果
なし	なし	すべてのユーザーを拒否
なし	あり	すべてのユーザーを拒否
あり	なし	allow-rules のユーザーのみを許可
あり	あり	allow-rules のユーザーのみが許可されますが、拒否ルールでは許可されません