3.7. 管理域用户的登录权限


默认情况下会应用域端访问控制,这意味着域用户的登录策略在域本身中定义。此默认行为可以被覆盖,以便使用客户端访问控制。使用客户端访问控制时,登录权限仅由本地策略定义。
如果域应用客户端访问控制,您可以使用 realmd 系统为来自该域的用户配置基本的允许或拒绝访问规则。请注意,这些访问规则允许或拒绝访问系统上的所有服务。必须在特定系统资源或域中设置更具体的访问规则。
要设置访问规则,请使用以下两个命令:
realm deny
realm deny 命令只是拒绝对域内所有用户的访问。使用此命令及 --all 选项。
域允许
realm allow 命令可用于:
  • 使用 --all 选项授予所有用户的访问权限,例如:
    $ realm permit --all
  • 向指定用户授予访问权限,例如:
    $ realm permit user@example.com
    $ realm permit 'AD.EXAMPLE.COM\user'
    
  • 使用 -x 选项拒绝对指定用户的访问,例如:
    $ realm permit -x 'AD.EXAMPLE.COM\user'
请注意,当前仅允许主域中的用户进行访问,不适用于可信域中的用户。这是因为虽然用户登录必须包含域名,但 SSSD 当前无法提供有关可用子域的信息
重要
更为安全的一点是,仅允许特定选定用户或组进行访问,而不是拒绝访问某些用户或组,同时让其他用户均可访问。因此,我们不建议默认允许访问 all,而仅拒绝域允许 -x 的指定用户访问。相反,红帽建议为所有用户维护默认无访问权限策略,仅使用域允许向选定的用户授予访问权限
有关 realm denyrealm allow 命令的详情请参考 realm(8) man page。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.