Pesquisar

3.3. Gerenciando permissões de login para usuários de domínio

download PDF

Por padrão, o controle de acesso do lado do domínio é aplicado, o que significa que as políticas de login para usuários do Active Directory (AD) são definidas no próprio domínio AD. Este comportamento padrão pode ser substituído para que seja utilizado o controle de acesso do lado do cliente. Com o controle de acesso do lado do cliente, a permissão de login é definida apenas pelas políticas locais.

Se um domínio aplica o controle de acesso do lado do cliente, você pode usar o realmd para configurar regras básicas de permissão ou negação de acesso para usuários daquele domínio.

Nota

As regras de acesso permitem ou negam o acesso a todos os serviços do sistema. Regras de acesso mais específicas devem ser definidas em um recurso específico do sistema ou no domínio.

3.3.1. Permitindo o acesso a usuários dentro de um domínio

Esta seção descreve como permitir o acesso a usuários dentro de um domínio.

Importante

É mais seguro permitir o acesso apenas a usuários ou grupos específicos do que negar o acesso a alguns, ao mesmo tempo em que permite o acesso a todos os outros. Portanto, não é recomendável permitir o acesso a todos por padrão, negando-o apenas a usuários específicos com permissão do reino -x. Ao invés disso, a Red Hat recomenda manter uma política default de não acesso para todos os usuários e conceder acesso somente a usuários selecionados usando a permissão do reino.

Pré-requisitos

  • Seu sistema RHEL é um membro do domínio do Active Directory.

Procedimento

  1. Conceder acesso a todos os usuários:

    # licença do reino -- tudo
  2. Conceder acesso a usuários específicos:

    $ realm permit aduser01@example.com
    $ realm permit 'AD.EXAMPLE.COM\aduser01'

Atualmente, você só pode permitir o acesso a usuários em domínios primários e não a usuários em domínios confiáveis. Isto se deve ao fato de que o login do usuário deve conter o nome do domínio e o SSSD não pode atualmente fornecer informações sobre os domínios infantis disponíveis em realmd.

Etapas de verificação

  1. Use SSH para entrar no servidor como o usuário aduser01@example.com:

    $ ssh aduser01@example.com@server_name
    [aduser01@example.com@server_name ~]$
  2. Use o comando ssh uma segunda vez para acessar o mesmo servidor, desta vez como o usuário aduser02@example.com:

    $ ssh aduser02@example.com@server_name
    Authentication failed.

Observe como o aduser02@example.com é negado o acesso ao sistema. Você concedeu a permissão para entrar no sistema somente ao usuário do aduser01@example.com. Todos os outros usuários desse domínio do Active Directory são rejeitados por causa da política de login especificada.

Nota

Se você definir use_fully_qualified_names como verdadeiro no arquivo sssd.conf, todas as solicitações devem usar o nome de domínio totalmente qualificado. Entretanto, se você definir use_fully_qualified_names como falso, é possível usar o nome totalmente qualificado nas solicitações, mas somente a versão simplificada é exibida na saída.

Recursos adicionais

  • Veja a página de manual realm(8)`.
Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.