3.4. Aplicando a política de grupo Controle de acesso a objetos na RHEL
Um Group Policy Object (GPO) é uma coleção de configurações de controle de acesso armazenadas no Microsoft Active Directory (AD) que pode ser aplicado a computadores e usuários em um ambiente AD. Ao especificar GPOs no AD, os administradores podem definir políticas de login honradas tanto por clientes Windows quanto por hosts do Red Hat Enterprise Linux (RHEL) unidos ao AD.
As seções seguintes descrevem como você pode gerenciar GPOs em seu ambiente:
- Seção 3.4.1, “Como a SSSD interpreta as regras de controle de acesso do GPO”
- Seção 3.4.2, “Lista de configurações GPO que o SSSD suporta”
- Seção 3.4.3, “Lista de opções de SSSD para controlar a aplicação da GPO”
- Seção 3.4.4, “Mudando o modo de controle de acesso do GPO”
- Seção 3.4.5, “Criação e configuração de um GPO para um host RHEL na GUI AD”
3.4.1. Como a SSSD interpreta as regras de controle de acesso do GPO
Por padrão, o SSSD recupera objetos de política de grupo (GPOs) dos controladores de domínio do Active Directory (AD) e os avalia para determinar se um usuário tem permissão para fazer login em um host RHEL em particular juntado ao AD.
O SSSD mapeia o AD Windows Logon Rights para nomes de serviços do Módulo de Autenticação Plugável (PAM) para reforçar essas permissões em um ambiente GNU/Linux.
Como Administrador AD, você pode limitar o escopo das regras do GPO a usuários, grupos ou anfitriões específicos, listando-os em uma lista security filter.
3.4.1.1. Limitações à filtragem por hospedeiros
Versões mais antigas do SSSD não avaliam os hospedeiros nos filtros de segurança AD GPO.
- RHEL 8.3.0 and newer: SSSD suporta usuários, grupos e hosts em filtros de segurança.
-
RHEL versions older than 8.3.0: O SSSD ignora as entradas do host e só suporta usuários e grupos em filtros de segurança.
Para garantir que o SSSD aplique controle de acesso baseado em GPO a um host específico, crie uma nova Unidade Organizacional (OU) no domínio AD, mova o sistema para a nova OU e, em seguida, conecte a GPO a esta OU.
3.4.1.2. Limitações da filtragem por grupos
O SSSD atualmente não suporta os grupos incorporados no Active Directory, como Administrators
com o Security Identifier (SID) S-1-5-32-544
. A Red Hat recomenda contra o uso de grupos incorporados de AD nos GPOs AD direcionados aos hosts RHEL.
Recursos adicionais
- Para uma lista de opções GPO do Windows e suas opções SSSD correspondentes, consulte Lista de configurações GPO que o SSSD suporta.