3.3. Gestión de los permisos de acceso para los usuarios del dominio
Por defecto, se aplica el control de acceso del lado del dominio, lo que significa que las políticas de inicio de sesión para los usuarios de Active Directory (AD) se definen en el propio dominio AD. Este comportamiento por defecto puede ser anulado para que se utilice el control de acceso del lado del cliente. Con el control de acceso del lado del cliente, el permiso de inicio de sesión se define únicamente mediante políticas locales.
Si un dominio aplica el control de acceso del lado del cliente, puede utilizar la página realmd para configurar reglas básicas de permiso o denegación de acceso para los usuarios de ese dominio.
Las reglas de acceso permiten o deniegan el acceso a todos los servicios del sistema. Las reglas de acceso más específicas deben establecerse en un recurso específico del sistema o en el dominio.
3.3.1. Habilitar el acceso a los usuarios dentro de un dominio
Esta sección describe cómo habilitar el acceso a los usuarios dentro de un dominio.
Es más seguro permitir sólo el acceso a usuarios o grupos específicos que negar el acceso a algunos, mientras se permite a todos los demás. Por lo tanto, no se recomienda permitir el acceso a todos por defecto mientras sólo se niega a usuarios específicos con realm permit -x. En su lugar, Red Hat recomienda mantener una política de no acceso por defecto para todos los usuarios y sólo conceder acceso a usuarios seleccionados utilizando realm permit.
Requisitos previos
- Su sistema RHEL es miembro del dominio de Active Directory.
Procedimiento
Conceder acceso a todos los usuarios:
# realm permit --all
Conceder acceso a usuarios específicos:
$ realm permit aduser01@example.com $ realm permit 'AD.EXAMPLE.COM\aduser01'
Actualmente, sólo se puede permitir el acceso a usuarios de dominios primarios y no a usuarios de dominios de confianza. Esto se debe a que el inicio de sesión del usuario debe contener el nombre del dominio y SSSD no puede actualmente proporcionar a realmd información sobre los dominios secundarios disponibles.
Pasos de verificación
Utilice SSH para iniciar sesión en el servidor como el usuario aduser01@example.com:
$ ssh aduser01@example.com@server_name [aduser01@example.com@server_name ~]$
Utilice el comando ssh una segunda vez para acceder al mismo servidor, esta vez como el usuario aduser02@example.com:
$ ssh aduser02@example.com@server_name Authentication failed.
Observe cómo se le niega el acceso al sistema a aduser02@example.com. Usted ha concedido el permiso para iniciar sesión en el sistema sólo al usuario aduser01@example.com. Todos los demás usuarios de ese dominio de Active Directory son rechazados debido a la política de inicio de sesión especificada.
Si establece use_fully_qualified_names como verdadero en el archivo sssd.conf, todas las solicitudes deben utilizar el nombre de dominio completamente calificado. Sin embargo, si establece use_fully_qualified_names como falso, es posible utilizar el nombre completamente calificado en las solicitudes, pero sólo se muestra la versión simplificada en la salida.
Recursos adicionales
-
Consulte la página de manual
realm(8)`.
