3.3.2. Negação de acesso a usuários dentro de um domínio
Esta seção descreve como negar o acesso a todos os usuários dentro de um domínio.
É mais seguro permitir o acesso apenas a usuários ou grupos específicos do que negar o acesso a alguns, ao mesmo tempo em que permite o acesso a todos os outros. Portanto, não é recomendável permitir o acesso a todos por padrão, negando-o apenas a usuários específicos com permissão do reino -x. Ao invés disso, a Red Hat recomenda manter uma política default de não acesso para todos os usuários e conceder acesso somente a usuários selecionados usando a permissão do reino.
Pré-requisitos
- Seu sistema RHEL é um membro do domínio do Active Directory.
Procedimento
Negar acesso a todos os usuários dentro do domínio:
# negar o reino... tudo
Este comando impede que as contas
realm
entrem na máquina local. Userealm permit
para restringir o login a contas específicas.Verifique se o endereço
login-policy
do usuário do domínio está configurado paradeny-any-login
:[root@replica1 ~]# realm list example.net type: kerberos realm-name: EXAMPLE.NET domain-name: example.net configured: kerberos-member server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools login-formats: %U@example.net login-policy: deny-any-login
Negar acesso a usuários específicos, utilizando a opção -x:
Licença do reino -x 'AD.EXEMPLO.COM02aduser
Etapas de verificação
Use SSH para entrar no servidor como o usuário
aduser01@example.net
.$ ssh aduser01@example.net@server_name Authentication failed.
Se você definir use_fully_qualified_names
como verdadeiro no arquivo sssd.conf
, todas as solicitações devem usar o nome de domínio totalmente qualificado. Entretanto, se você definir use_fully_qualified_names
como falso, é possível usar o nome totalmente qualificado nas solicitações, mas somente a versão simplificada é exibida na saída.
Recursos adicionais
-
Veja a página de manual
realm(8)`
.