3.4.4. Cambiar el modo de control de acceso de GPO
Este procedimiento cambia la forma en que se evalúan y aplican las reglas de control de acceso basadas en GPO en un host RHEL unido a un entorno de Active Directory (AD).
En este ejemplo, se cambiará el modo de funcionamiento del GPO de enforcing
(el predeterminado) a permissive
con fines de prueba.
Si ve los siguientes errores, los usuarios de Active Directory no pueden iniciar sesión debido a los controles de acceso basados en GPO:
En
/var/log/secure
:Oct 31 03:00:13 client1 sshd[124914]: pam_sss(sshd:account): Access denied for user aduser1: 6 (Permission denied) Oct 31 03:00:13 client1 sshd[124914]: Failed password for aduser1 from 127.0.0.1 port 60509 ssh2 Oct 31 03:00:13 client1 sshd[124914]: fatal: Access denied for user aduser1 by PAM account configuration [preauth]
En
/var/log/sssd/sssd__example.com_.log
:(Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_perform_hbac_processing] (0x0040): GPO access check failed: [1432158236](Host Access Denied) (Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_cse_done] (0x0040): HBAC processing failed: [1432158236](Host Access Denied} (Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_access_done] (0x0040): GPO-based access control failed.
Si este es un comportamiento no deseado, puede establecer temporalmente ad_gpo_access_control
en permissive
como se describe en este procedimiento mientras soluciona la configuración correcta de GPO en AD.
Requisitos previos
- Ha unido un host RHEL a un entorno AD utilizando SSSD.
-
La edición del archivo de configuración de
/etc/sssd/sssd.conf
requiere permisos deroot
.
Procedimiento
Detenga el servicio SSSD.
[root@server ~]# systemctl stop sssd
-
Abra el archivo
/etc/sssd/sssd.conf
en un editor de texto. Establezca
ad_gpo_access_control
comopermissive
en la seccióndomain
para el dominio AD.[domain/example.com] ad_gpo_access_control=permissive ...
-
Guarde el archivo
/etc/sssd/sssd.conf
. Reinicie el servicio SSSD para cargar los cambios de configuración.
[root@server ~]# systemctl restart sssd
Recursos adicionales
- Para ver la lista de los diferentes modos de control de acceso a GPO, consulte Lista de opciones de SSSD para controlar la aplicación de GPO.