3.4.4. Cambiar el modo de control de acceso de GPO

Este procedimiento cambia la forma en que se evalúan y aplican las reglas de control de acceso basadas en GPO en un host RHEL unido a un entorno de Active Directory (AD).

En este ejemplo, se cambiará el modo de funcionamiento del GPO de enforcing (el predeterminado) a permissive con fines de prueba.

Importante

Si ve los siguientes errores, los usuarios de Active Directory no pueden iniciar sesión debido a los controles de acceso basados en GPO:

  • En /var/log/secure: 

    Oct 31 03:00:13 client1 sshd[124914]: pam_sss(sshd:account): Access denied for user aduser1: 6 (Permission denied)
Oct 31 03:00:13 client1 sshd[124914]: Failed password for aduser1 from 127.0.0.1 port 60509 ssh2
Oct 31 03:00:13 client1 sshd[124914]: fatal: Access denied for user aduser1 by PAM account configuration [preauth]

  • En /var/log/sssd/sssd__example.com_.log: 

    (Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_perform_hbac_processing] (0x0040): GPO access check failed: [1432158236](Host Access Denied)
(Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_cse_done] (0x0040): HBAC processing failed: [1432158236](Host Access Denied}
(Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_access_done] (0x0040): GPO-based access control failed.

Si este es un comportamiento no deseado, puede establecer temporalmente ad_gpo_access_control en permissive como se describe en este procedimiento mientras soluciona la configuración correcta de GPO en AD.

Requisitos previos

  • Ha unido un host RHEL a un entorno AD utilizando SSSD.
  • La edición del archivo de configuración de /etc/sssd/sssd.conf requiere permisos de root.

Procedimiento

  1. Detenga el servicio SSSD. 

    [root@server ~]# systemctl stop sssd
  2. Abra el archivo /etc/sssd/sssd.conf en un editor de texto.

  3. Establezca ad_gpo_access_control como permissive en la sección domain para el dominio AD. 

    [domain/example.com]
ad_gpo_access_control=permissive
...
  4. Guarde el archivo /etc/sssd/sssd.conf.

  5. Reinicie el servicio SSSD para cargar los cambios de configuración. 

    [root@server ~]# systemctl restart sssd

Recursos adicionales