3.3.2. Denegación de acceso a usuarios dentro de un dominio

Esta sección describe cómo denegar el acceso a todos los usuarios de un dominio.

Importante

Es más seguro permitir sólo el acceso a usuarios o grupos específicos que negar el acceso a algunos, mientras se permite a todos los demás. Por lo tanto, no se recomienda permitir el acceso a todos por defecto mientras sólo se niega a usuarios específicos con realm permit -x. En su lugar, Red Hat recomienda mantener una política de no acceso por defecto para todos los usuarios y sólo conceder acceso a usuarios seleccionados utilizando realm permit.

Requisitos previos

  • Su sistema RHEL es miembro del dominio de Active Directory.

Procedimiento

  1. Denegar el acceso a todos los usuarios del dominio: 

    # realm deny --all

    Este comando impide que las cuentas de realm se registren en la máquina local. Utilice realm permit para restringir el acceso a cuentas específicas.

  2. Compruebe que el usuario del dominio login-policy está configurado como deny-any-login: 

    [root@replica1 ~]# realm list
example.net
  type: kerberos
  realm-name: EXAMPLE.NET
  domain-name: example.net
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common-tools
  login-formats: %U@example.net
  login-policy: deny-any-login

  3. Denegar el acceso a usuarios específicos mediante la opción -x: 

    $ realm permit -x 'AD.EXAMPLE.COM\\Naduser02'

Pasos de verificación

  • Utilice SSH para iniciar sesión en el servidor como el usuario aduser01@example.net. 

    $ ssh aduser01@example.net@server_name
Authentication failed.
Nota

Si establece use_fully_qualified_names como verdadero en el archivo sssd.conf, todas las solicitudes deben utilizar el nombre de dominio completamente calificado. Sin embargo, si establece use_fully_qualified_names como falso, es posible utilizar el nombre completamente calificado en las solicitudes, pero sólo se muestra la versión simplificada en la salida.

Recursos adicionales

  • Consulte la página de manual realm(8)`.