サポートコンソール開発者トライアルの開始お問い合わせ

2.6.3. SSSD の GPO ベースのアクセス制御の設定

GPO ベースのアクセス制御は /etc/sssd/sssd.conf ファイルで設定できます。ad_gpo_access_control オプションは、GPO ベースのアクセス制御を実行するモードを指定します。以下の値を使用できます。
ad_gpo_access_control = permissive
permissive の場合は、GPO ベースのアクセス制御は評価されますが、強制されません。syslog メッセージは、アクセスが拒否される度に復元されます。これはデフォルト設定です。
ad_gpo_access_control = enforcing
enforcing の場合は、GPO ベースのアクセス制御は評価され、強制されます。
ad_gpo_access_control = disabled
disabled の場合は、GPO ベースのアクセス制御は評価も強制もされません。
重要
GPO ベースのアクセス制御の使用を開始し、ad_gpo_access_control を強制モードに設定する前に、ad_gpo_access_control が許可モードに設定されていることを確認し、ログを調べることをお勧めします。syslog メッセージを見直すことで現行の GPO 設定をテスト、調節してからその後で enforcing モードに設定することができます。
GPO ベースのアクセス制御に関連する以下のパラメーターも sssd.conf ファイルで指定することができます。
  • ad_gpo_map_* オプションと ad_gpo_default_right オプションは、どの PAM サービスが特定の Windows ログオン権限にマップされるかを設定します。
    PAM サービスを、特定の GPO 設定にマッピングされた PAM サービスのデフォルトリストに追加するか、一覧からサービスを削除するには、ad_gpo_map_* オプションを使用します。たとえば、インタラクティブなログインにマッピングされた PAM サービスの一覧から su サービスを削除する (GPO 設定のローカルでのログオンの許可、およびローカルでのログオンの拒否) には、以下を行います。 
    ad_gpo_map_interactive = -su
  • ad_gpo_cache_timeout オプションは、後続のアクセス制御要求が DC から新たにファイルを取得するのではなく、キャッシュに保存されたファイルを再利用できる間隔を指定します。
使用できる GPO パラメーターの詳細なリストと、その説明およびデフォルト値は、sssd-ad(5) の man ページを参照してください。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.