主页
产品
Red Hat Enterprise Linux
7
Windows 集成指南
2.6.3. 为 SSSD 配置基于 GPO 的访问控制

2.6.3. 为 SSSD 配置基于 GPO 的访问控制

基于 GPO 的访问控制可以在 /etc/sssd/sssd.conf 文件中配置。ad_gpo_access_control 选项指定基于 GPO 的访问控制运行的模式。它可以设置为以下值：

ad_gpo_access_control = permissive: permissive 值指定基于 GPO 的访问控制会被评估但不强制实施；每次访问都会被拒绝时都会记录 syslog 信息。这是默认的设置。
ad_gpo_access_control = enforcing: enforcing 值指定评估并实施基于 GPO 的访问控制。
ad_gpo_access_control = disabled: disabled 值指定基于 GPO 的访问控制不会被评估，也不会强制执行。

重要

在开始使用基于 GPO 的访问控制并将 ad_gpo_access_control 设置为 enforcing 模式前，建议确保将 ad_gpo_access_control 设置为 permissive 模式并检查日志。通过查看 syslog 消息，您可以在最终设置 enforcing 模式前，根据需要测试和调整当前的 GPO 设置。

以下与基于 GPO 的访问控制相关的参数也可以在 sssd.conf 文件中指定：

ad_gpo_map_* 选项和 ad_gpo_default_right 选项配置哪些 PAM 服务映射到特定的 Windows 日志权限。
要将 PAM 服务添加到映射到特定 GPO 设置的默认 PAM 服务列表中，或者从列表中删除该服务，请使用 ad_gpo_map_* 选项。例如，要从映射到交互式登录的 PAM 服务列表中删除 su 服务（GPO 设置允许在本地登录和拒绝本地登录）：
```
ad_gpo_map_interactive = -su
```
```
ad_gpo_map_interactive = -su
```
Copy to Clipboard Toggle word wrap
ad_gpo_cache_timeout 选项指定后续访问控制请求可以重复使用缓存中存储的文件的时间间隔，而不是从 DC 中检索它们。

有关可用 GPO 参数及其描述和默认值的详情，请查看 sssd-ad(5) man page。

返回顶部

2.6.3. 为 SSSD 配置基于 GPO 的访问控制

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links