3.4.4. Mudando o modo de controle de acesso do GPO
Este procedimento muda a forma como as regras de controle de acesso baseadas em GPO são avaliadas e aplicadas em um host RHEL unido a um ambiente Active Directory (AD).
Neste exemplo, você mudará o modo de operação do GPO de enforcing
(o padrão) para permissive
para fins de teste.
Se você vir os seguintes erros, os usuários do Active Directory não poderão fazer login devido aos controles de acesso baseados em GPO:
Em
/var/log/secure
:Oct 31 03:00:13 client1 sshd[124914]: pam_sss(sshd:account): Access denied for user aduser1: 6 (Permission denied) Oct 31 03:00:13 client1 sshd[124914]: Failed password for aduser1 from 127.0.0.1 port 60509 ssh2 Oct 31 03:00:13 client1 sshd[124914]: fatal: Access denied for user aduser1 by PAM account configuration [preauth]
Em
/var/log/sssd/sssd__example.com_.log
:(Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_perform_hbac_processing] (0x0040): GPO access check failed: [1432158236](Host Access Denied) (Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_cse_done] (0x0040): HBAC processing failed: [1432158236](Host Access Denied} (Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_access_done] (0x0040): GPO-based access control failed.
Se este for um comportamento indesejado, você pode definir temporariamente ad_gpo_access_control
para permissive
, como descrito neste procedimento, enquanto você resolve problemas com as configurações GPO adequadas no AD.
Pré-requisitos
- Você juntou um host RHEL a um ambiente AD usando SSSD.
-
A edição do arquivo de configuração
/etc/sssd/sssd.conf
requerroot
permissões.
Procedimento
Parar o serviço SSSD.
[root@server ~]# systemctl stop sssd
-
Abra o arquivo
/etc/sssd/sssd.conf
em um editor de texto. Defina
ad_gpo_access_control
parapermissive
na seçãodomain
para o domínio AD.[domain/example.com] ad_gpo_access_control=permissive ...
-
Salvar o arquivo
/etc/sssd/sssd.conf
. Reinicie o serviço SSSD para carregar as mudanças de configuração.
[root@server ~]# systemctl restart sssd
Recursos adicionais
- Para a lista de diferentes modos de controle de acesso GPO, consulte Lista de opções SSSD para controlar a aplicação do GPO.