3.7. ドメインユーザーのログインパーミッションの管理
デフォルトでは、ドメイン側のアクセス制御 が適用されます。これは、ドメインユーザーのログインポリシーがドメイン自体で定義されていることを意味します。クライアント側のアクセス制御 を使用できるように、このデフォルトの動作は上書きできます。クライアント側のアクセス制御では、ログインパーミッションはローカルポリシーでのみ定義されます。
ドメインがクライアント側のアクセス制御を適用する場合は、
realmd システムを使用して、そのドメインのユーザーの基本的なアクセスルールである allow または deny を設定できます。このアクセスルールは、システム上の全サービスへのアクセスを許可または拒否することに注意してください。特定のシステムリソースまたはドメインに、より具体的なアクセスルールを設定する必要があります。
アクセス制御ルールを設定するには、以下の 2 つのコマンドを使用します。
- realm deny
- realm deny コマンドは、単にドメイン内のすべてのユーザーへのアクセスを拒否します。
--allオプションを指定して、このコマンドを使用します。 - realm permit
- realm permit コマンドは以下を実行するために使用できます。
- 以下のように
--allオプションを使用して、すべてのユーザーへのアクセスを付与します。$ realm permit --all
- 指定したユーザーにアクセス権を付与します。以下に例を示します。
$ realm permit user@example.com $ realm permit 'AD.EXAMPLE.COM\user'
-xオプションを使用して、指定したユーザーへのアクセスを拒否します。以下に例を示します。$ realm permit -x 'AD.EXAMPLE.COM\user'
現在、アクセスの許可はプライマリードメインのユーザーに対してのみ機能し、信頼されたドメインのユーザーに対しては機能しないことに注意してください。これは、ユーザーログインにドメイン名を含める必要があるためです。現在、SSSD は
realmd に利用可能な子ドメインに関する情報を提供できないためです。
重要
明確に選択したユーザーまたはグループのアクセスのみを許可する方が、一部のユーザーへのアクセスを拒否して、他のすべてのユーザーにアクセスを許可するよりも安全です。したがって、デフォルトで全ユーザーにアクセスを許可し、realm permit -x を使用して特定のユーザーのみを拒否することは推奨されません。Red Hat では、代わりに、すべてのユーザーに対してデフォルトのアクセス禁止ポリシーを維持し、realm permit を使用して選択したユーザーのアクセスのみを許可することが推奨されます。
realm deny コマンドおよび realm permit コマンドの詳細は、realm(8) の man ページを参照してください。
