2.6.3. SSSD の GPO ベースのアクセス制御の設定
GPO ベースのアクセス制御は
/etc/sssd/sssd.conf ファイルで設定できます。ad_gpo_access_control オプションは、GPO ベースのアクセス制御を実行するモードを指定します。以下の値を使用できます。
ad_gpo_access_control = permissivepermissiveの場合は、GPO ベースのアクセス制御は評価されますが、強制されません。syslogメッセージは、アクセスが拒否される度に復元されます。これはデフォルト設定です。ad_gpo_access_control = enforcingenforcingの場合は、GPO ベースのアクセス制御は評価され、強制されます。ad_gpo_access_control = disableddisabledの場合は、GPO ベースのアクセス制御は評価も強制もされません。
重要
GPO ベースのアクセス制御の使用を開始し、
ad_gpo_access_control を強制モードに設定する前に、ad_gpo_access_control が許可モードに設定されていることを確認し、ログを調べることをお勧めします。syslog メッセージを見直すことで現行の GPO 設定をテスト、調節してからその後で enforcing モードに設定することができます。
GPO ベースのアクセス制御に関連する以下のパラメーターも
sssd.conf ファイルで指定することができます。
ad_gpo_map_*オプションとad_gpo_default_rightオプションは、どの PAM サービスが特定の Windows ログオン権限にマップされるかを設定します。PAM サービスを、特定の GPO 設定にマッピングされた PAM サービスのデフォルトリストに追加するか、一覧からサービスを削除するには、ad_gpo_map_*オプションを使用します。たとえば、インタラクティブなログインにマッピングされた PAM サービスの一覧からsuサービスを削除する (GPO 設定のローカルでのログオンの許可、およびローカルでのログオンの拒否) には、以下を行います。ad_gpo_map_interactive = -su
ad_gpo_cache_timeoutオプションは、後続のアクセス制御要求が DC から新たにファイルを取得するのではなく、キャッシュに保存されたファイルを再利用できる間隔を指定します。
使用できる GPO パラメーターの詳細なリストと、その説明およびデフォルト値は、sssd-ad(5) の man ページを参照してください。
