Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
3.7. ドメインユーザーのログインパーミッションの管理
デフォルトでは、ドメイン側のアクセス制御 が適用され、ドメイン内で定義されたログインポリシーがドメインユーザーに適用されます。このデフォルト動作は、クライアント側のアクセス制御 の使用で無効になります。クライアント側の制御を使用すると、ログインパーミッションはローカルポリシーでのみ定義されます。
ドメインがクライアント側のアクセス制御を適用する場合は、
realmd
システムを使ってそのドメインにおけるユーザーの基本的な allow or deny アクセスルールを設定することができます。このアクセスルールはシステム上の全サービスに対するアクセスを許可または拒否することに注意してください。特定のアクセスルールは、特定のシステムリソースもしくはドメインで設定する必要があります。
アクセスルールを設定するには、以下の 2 つのコマンドを使用します。
realm deny
realm deny
コマンドは、単にドメイン内のすべてのユーザーにアクセスを拒否します。このコマンドは--all
オプションと使用します。realm permit
realm permit
コマンドは、以下を可能にします。--all
オプションを使用して全ユーザーにアクセスを付与します。$ realm permit --all
- 以下のように指定したユーザーにアクセスを付与します。
$ realm permit user@example.com $ realm permit 'AD.EXAMPLE.COM\user'
-x
オプションを使用して指定したユーザーにアクセスを拒否します。$ realm permit -x 'AD.EXAMPLE.COM\user'
現時点ではアクセスの許可はプライマリードメインのユーザーに対してのみ有効で、信頼されるドメインのユーザーには有効ではありません。ユーザーログインにはドメイン名を含める必要がありますが、SSSD は現時点では
realmd
に利用可能な子ドメインの情報を提供できないためです。
重要
一部のユーザーのアクセスを拒否してその他のユーザーにアクセスを許可するよりも、特定のユーザーやグループのみアクセスを許可する方がより安全な方法になります。つまり、デフォルトで全員にアクセスを許可して、かつ
realm permit -x
で指定されたユーザーにアクセスを拒否するというやり方は推奨されません。Red Hat で推奨しているのは、デフォルトで全ユーザーにアクセスを拒否し、realm permit
で選択したユーザーにのみアクセスを許可するという方法です。
realm deny
および realm permit
コマンドについての詳細は、realm(8) man ページを参照してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。