2.6.3. SSSD에 대한 rootfs 기반 액세스 제어 구성
rootfs 기반 액세스 제어는
/etc/sssd/sssd.conf 파일에서 구성할 수 있습니다. ad_gpo_access_control 옵션은 grant-based 액세스 제어가 실행되는 모드를 지정합니다. 다음 값으로 설정할 수 있습니다.
ad_gpo_access_control = permissive- Permissive 값은 grant-based access control이 평가되고 적용되지 않음을 지정합니다. 액세스 권한이 거부될 때마다
syslog메시지가 기록됩니다.이 설정은 기본 설정입니다. ad_gpo_access_control = enforcingenforcing값은 grant-based access control이 평가되고 적용되도록 지정합니다.ad_gpo_access_control = disableddisabled값은 iLO 기반 액세스 제어가 평가되거나 적용되지 않도록 지정합니다.
중요
grant-based 액세스 제어를 사용하고
ad_gpo_access_control 을 enforcing 모드로 설정하기 전에 ad_gpo_access_control 을 허용 모드로 설정하고 로그를 검사하는 것이 좋습니다. syslog 메시지를 검토하여 마지막으로 강제 모드를 설정하기 전에 필요에 따라 현재 rootfs 설정을 테스트하고 조정할 수 있습니다.
rootfs 기반 액세스 제어와 관련된 다음 매개변수도
sssd.conf 파일에 지정할 수 있습니다.
ad_gpo_map_*옵션과ad_gpo_default_right옵션은 특정 Windows 로그온 권한에 매핑되는 PAM 서비스를 구성합니다.특정 rsh 설정에 매핑된 PAM 서비스의 기본 목록에 PAM 서비스를 추가하거나 목록에서 서비스를 제거하려면ad_gpo_map_*옵션을 사용합니다. 예를 들어 대화형 로그인(GPO 설정)에 매핑된 PAM 서비스 목록에서su서비스를 제거하려면 로컬에 로그를 허용하고 로컬에서 로그인할 수 있습니다.ad_gpo_map_interactive = -su
ad_gpo_cache_timeout옵션은 후속 액세스 제어 요청이 DC anew에서 저장된 파일을 검색하는 대신 캐시에 저장된 파일을 재사용할 수 있는 간격을 지정합니다.
사용 가능한 rootfs 매개변수와 해당 설명 및 기본값의 자세한 목록은 sssd-ad(5) 도움말 페이지를 참조하십시오.
