Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

4.4. 为域用户管理登录权限

默认情况下会应用域端访问控制,这意味着 Active Directory(AD)用户的登录策略在 AD 域本身中定义。此默认行为可以被覆盖,以便使用客户端访问控制。使用客户端访问控制时,登录权限仅由本地策略定义。

如果域应用客户端端访问控制,您可以使用 realmd 为来自 该域的用户配置基本的允许或拒绝访问规则。

注意

访问规则可以允许或拒绝对系统中所有服务的访问。必须在特定系统资源或域中设置更具体的访问规则。

4.4.1. 启用对域中用户的访问
复制链接

默认情况下,Active Directory(AD)用户的登录策略在 AD 域本身中定义。您可以覆盖此默认行为,并配置 RHEL 主机来为 AD 域中的用户启用访问权限。

重要

不建议默认允许访问 all,而只拒绝对具有域允许 -x 的特定用户。反之,红帽建议为所有用户维护默认的 no access 策略,且只使用域允许为所选用户授予访问权限。

先决条件

  • 您的 RHEL 系统是 Active Directory 域的成员。

流程

  1. 授予对所有用户的访问权限: 

    # realm permit --all
    Copy to Clipboard Toggle word wrap

  2. 授予对特定用户的访问权限: 

    $ realm permit aduser01@example.com
$ realm permit 'AD.EXAMPLE.COM\aduser01'
    Copy to Clipboard Toggle word wrap

目前,您只能允许访问主域中的用户,而不允许访问可信域中的用户。这是因为用户登录必须包含域名,SSSD 当前无法提供有关可用子域 的信息

验证

  1. 使用 SSH 以 aduser01@example.com 用户身份登录到服务器: 

    $ ssh aduser01@example.com@server_name
[aduser01@example.com@server_name ~]$
    Copy to Clipboard Toggle word wrap

  2. 使用 ssh 命令第二次访问同一服务器,此时与 aduser02@example.com 用户身份进行以下操作: 

    $ ssh aduser02@example.com@server_name
Authentication failed.
    Copy to Clipboard Toggle word wrap

请注意 aduser02@example.com 用户如何拒绝对该系统的访问。您只为 aduser01@example.com 用户授权可以登录到系统。由于指定的登录策略,来自该 Active Directory 域的所有其他用户都将被拒绝。

注意

如果您在 sssd.conf 文件中将 use_fully_qualified_names 设置为 true,则所有请求必须使用完全限定域名。但是,如果您将 use_fully_qualified_names 设为 false,则可以在请求中使用完全限定的名称,但输出中仅显示简化的版本。

4.4.2. 拒绝对域中用户的访问
复制链接

默认情况下,Active Directory(AD)用户的登录策略在 AD 域本身中定义。您可以覆盖此默认行为,并将 RHEL 主机配置为拒绝对 AD 域中的用户访问。

重要

仅允许访问特定用户或组比拒绝访问某些用户或组而允许访问其他所有用户或组要安全。因此,不建议默认允许访问 all,而只拒绝对具有域允许 -x 的特定用户。反之,红帽建议为所有用户维护默认的 no access 策略,且只使用域允许为所选用户授予访问权限。

先决条件

  • 您的 RHEL 系统是 Active Directory 域的成员。

流程

  1. 拒绝对域内所有用户的访问: 

    # realm deny --all
    Copy to Clipboard Toggle word wrap

    此命令将阻止 realm 帐户登录本地计算机。使用 realm 允许将 登录限制为特定的帐户。

  2. 验证域用户的 login-policy 是否已 设置为 deny-any-login: 

    [root@replica1 ~]# realm list
example.net
  type: kerberos
  realm-name: EXAMPLE.NET
  domain-name: example.net
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common-tools
  login-formats: %U@example.net
  login-policy: deny-any-login
    Copy to Clipboard Toggle word wrap

  3. 使用 -x 选项拒绝对特定用户的访问: 

    $ realm permit -x 'AD.EXAMPLE.COM\aduser02'
    Copy to Clipboard Toggle word wrap

验证

  • 使用 SSH 以 aduser01@example.net 用户身份登录服务器。 

    $ ssh aduser01@example.net@server_name
Authentication failed.
    Copy to Clipboard Toggle word wrap
注意

如果您在 sssd.conf 文件中将 use_fully_qualified_names 设置为 true,则所有请求必须使用完全限定域名。但是,如果您将 use_fully_qualified_names 设为 false,则可以在请求中使用完全限定的名称,但输出中仅显示简化的版本。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat