2.6.3. 为 SSSD 配置基于 GPO 的访问控制


基于 GPO 的访问控制可以在 /etc/sssd/sssd.conf 文件中配置。ad_gpo_access_control 选项指定基于 GPO 的访问控制运行的模式。它可以设置为以下值:
ad_gpo_access_control = permissive
permissive 值指定基于 GPO 的访问控制会被评估但不强制实施;每次访问都会被拒绝时都会记录 syslog 信息。这是默认的设置。
ad_gpo_access_control = enforcing
enforcing 值指定评估并实施基于 GPO 的访问控制。
ad_gpo_access_control = disabled
disabled 值指定基于 GPO 的访问控制不会被评估,也不会强制执行。
重要
在开始使用基于 GPO 的访问控制并将 ad_gpo_access_control 设置为 enforcing 模式前,建议确保将 ad_gpo_access_control 设置为 permissive 模式并检查日志。通过查看 syslog 消息,您可以在最终设置 enforcing 模式前,根据需要测试和调整当前的 GPO 设置。
以下与基于 GPO 的访问控制相关的参数也可以在 sssd.conf 文件中指定:
  • ad_gpo_map_* 选项和 ad_gpo_default_right 选项配置哪些 PAM 服务映射到特定的 Windows 日志权限。
    要将 PAM 服务添加到映射到特定 GPO 设置的默认 PAM 服务列表中,或者从列表中删除该服务,请使用 ad_gpo_map_* 选项。例如,要从映射到交互式登录的 PAM 服务列表中删除 su 服务(GPO 设置允许在本地登录和拒绝本地登录):
    ad_gpo_map_interactive = -su
  • ad_gpo_cache_timeout 选项指定后续访问控制请求可以重复使用缓存中存储的文件的时间间隔,而不是从 DC 中检索它们。
有关可用 GPO 参数及其描述和默认值的详情,请查看 sssd-ad(5) man page。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.