3.3. Gerenciando permissões de login para usuários de domínio
Por padrão, o controle de acesso do lado do domínio é aplicado, o que significa que as políticas de login para usuários do Active Directory (AD) são definidas no próprio domínio AD. Este comportamento padrão pode ser substituído para que seja utilizado o controle de acesso do lado do cliente. Com o controle de acesso do lado do cliente, a permissão de login é definida apenas pelas políticas locais.
Se um domínio aplica o controle de acesso do lado do cliente, você pode usar o realmd
para configurar regras básicas de permissão ou negação de acesso para usuários daquele domínio.
As regras de acesso permitem ou negam o acesso a todos os serviços do sistema. Regras de acesso mais específicas devem ser definidas em um recurso específico do sistema ou no domínio.
3.3.1. Permitindo o acesso a usuários dentro de um domínio
Esta seção descreve como permitir o acesso a usuários dentro de um domínio.
É mais seguro permitir o acesso apenas a usuários ou grupos específicos do que negar o acesso a alguns, ao mesmo tempo em que permite o acesso a todos os outros. Portanto, não é recomendável permitir o acesso a todos por padrão, negando-o apenas a usuários específicos com permissão do reino -x. Ao invés disso, a Red Hat recomenda manter uma política default de não acesso para todos os usuários e conceder acesso somente a usuários selecionados usando a permissão do reino.
Pré-requisitos
- Seu sistema RHEL é um membro do domínio do Active Directory.
Procedimento
Conceder acesso a todos os usuários:
# licença do reino -- tudo
Conceder acesso a usuários específicos:
$ realm permit aduser01@example.com $ realm permit 'AD.EXAMPLE.COM\aduser01'
Atualmente, você só pode permitir o acesso a usuários em domínios primários e não a usuários em domínios confiáveis. Isto se deve ao fato de que o login do usuário deve conter o nome do domínio e o SSSD não pode atualmente fornecer informações sobre os domínios infantis disponíveis em realmd
.
Etapas de verificação
Use SSH para entrar no servidor como o usuário aduser01@example.com:
$ ssh aduser01@example.com@server_name [aduser01@example.com@server_name ~]$
Use o comando ssh uma segunda vez para acessar o mesmo servidor, desta vez como o usuário aduser02@example.com:
$ ssh aduser02@example.com@server_name Authentication failed.
Observe como o aduser02@example.com
é negado o acesso ao sistema. Você concedeu a permissão para entrar no sistema somente ao usuário do aduser01@example.com. Todos os outros usuários desse domínio do Active Directory são rejeitados por causa da política de login especificada.
Se você definir use_fully_qualified_names
como verdadeiro no arquivo sssd.conf
, todas as solicitações devem usar o nome de domínio totalmente qualificado. Entretanto, se você definir use_fully_qualified_names
como falso, é possível usar o nome totalmente qualificado nas solicitações, mas somente a versão simplificada é exibida na saída.
Recursos adicionais
-
Veja a página de manual
realm(8)`
.