2.6.3. 为 SSSD 配置基于 GPO 的访问控制
基于 GPO 的访问控制可以在
/etc/sssd/sssd.conf 文件中配置。ad_gpo_access_control 选项指定基于 GPO 的访问控制运行的模式。它可以设置为以下值:
ad_gpo_access_control = permissivepermissive值指定基于 GPO 的访问控制会被评估但不强制实施;每次访问都会被拒绝时都会记录syslog信息。这是默认的设置。ad_gpo_access_control = enforcingenforcing值指定评估并实施基于 GPO 的访问控制。ad_gpo_access_control = disableddisabled值指定基于 GPO 的访问控制不会被评估,也不会强制执行。
重要
在开始使用基于 GPO 的访问控制并将
ad_gpo_access_control 设置为 enforcing 模式前,建议确保将 ad_gpo_access_control 设置为 permissive 模式并检查日志。通过查看 syslog 消息,您可以在最终设置 enforcing 模式前,根据需要测试和调整当前的 GPO 设置。
以下与基于 GPO 的访问控制相关的参数也可以在
sssd.conf 文件中指定:
ad_gpo_map_*选项和ad_gpo_default_right选项配置哪些 PAM 服务映射到特定的 Windows 日志权限。要将 PAM 服务添加到映射到特定 GPO 设置的默认 PAM 服务列表中,或者从列表中删除该服务,请使用ad_gpo_map_*选项。例如,要从映射到交互式登录的 PAM 服务列表中删除su服务(GPO 设置允许在本地登录和拒绝本地登录):ad_gpo_map_interactive = -su
ad_gpo_cache_timeout选项指定后续访问控制请求可以重复使用缓存中存储的文件的时间间隔,而不是从 DC 中检索它们。
有关可用 GPO 参数及其描述和默认值的详情,请查看 sssd-ad(5) man page。
