3.7. 管理域用户的登录权限
默认情况下会应用域端访问控制,这意味着域用户的登录策略在域本身中定义。此默认行为可以被覆盖,以便使用客户端访问控制。使用客户端访问控制时,登录权限仅由本地策略定义。
如果域应用客户端访问控制,您可以使用
realmd 系统为来自该域的用户配置基本的允许或拒绝访问规则。请注意,这些访问规则允许或拒绝访问系统上的所有服务。必须在特定系统资源或域中设置更具体的访问规则。
要设置访问规则,请使用以下两个命令:
- realm deny
- realm deny 命令只是拒绝对域内所有用户的访问。使用此命令及
--all选项。 - 域允许
- realm allow 命令可用于:
- 使用
--all选项授予所有用户的访问权限,例如:$ realm permit --all
- 向指定用户授予访问权限,例如:
$ realm permit user@example.com $ realm permit 'AD.EXAMPLE.COM\user'
- 使用
-x选项拒绝对指定用户的访问,例如:$ realm permit -x 'AD.EXAMPLE.COM\user'
请注意,当前仅允许主域中的用户进行访问,不适用于可信域中的用户。这是因为虽然用户登录必须包含域名,但 SSSD
当前无法提供有关可用子域的信息。
重要
更为安全的一点是,仅允许特定选定用户或组进行访问,而不是拒绝访问某些用户或组,同时让其他用户均可访问。因此,我们不建议默认允许访问 all,而仅拒绝域允许 -x 的指定用户访问。相反,红帽建议为所有用户维护默认无访问权限策略,仅使用域允许向选定的用户授予访问权限。
有关 realm deny 和 realm allow 命令的详情请参考 realm(8) man page。
