3.7. ドメインユーザーのログインパーミッションの管理

デフォルトでは、ドメイン側のアクセス制御 が適用され、ドメイン内で定義されたログインポリシーがドメインユーザーに適用されます。このデフォルト動作は、クライアント側のアクセス制御 の使用で無効になります。クライアント側の制御を使用すると、ログインパーミッションはローカルポリシーでのみ定義されます。
ドメインがクライアント側のアクセス制御を適用する場合は、realmd システムを使ってそのドメインにおけるユーザーの基本的な allow or deny アクセスルールを設定することができます。このアクセスルールはシステム上の全サービスに対するアクセスを許可または拒否することに注意してください。特定のアクセスルールは、特定のシステムリソースもしくはドメインで設定する必要があります。
アクセスルールを設定するには、以下の 2 つのコマンドを使用します。
realm deny
realm deny コマンドは、単にドメイン内のすべてのユーザーにアクセスを拒否します。このコマンドは --all オプションと使用します。
realm permit
realm permit コマンドは、以下を可能にします。
  • --all オプションを使用して全ユーザーにアクセスを付与します。
    $ realm permit --all
  • 以下のように指定したユーザーにアクセスを付与します。
    $ realm permit user@example.com
    $ realm permit 'AD.EXAMPLE.COM\user'
  • -x オプションを使用して指定したユーザーにアクセスを拒否します。
    $ realm permit -x 'AD.EXAMPLE.COM\user'
現時点ではアクセスの許可はプライマリードメインのユーザーに対してのみ有効で、信頼されるドメインのユーザーには有効ではありません。ユーザーログインにはドメイン名を含める必要がありますが、SSSD は現時点では realmd に利用可能なサブドメインの情報を提供できないためです。

重要

一部のユーザーのアクセスを拒否してその他のユーザーにアクセスを許可するよりも、特定のユーザーやグループのみアクセスを許可する方がより安全な方法になります。つまり、デフォルトで全員にアクセスを許可して、かつ realm permit -x で指定されたユーザーにアクセスを拒否するというやり方は推奨されません。Red Hat で推奨しているのは、デフォルトで全ユーザーにアクセスを拒否し、realm permit で選択したユーザーにのみアクセスを許可するという方法です。
realm deny および realm permit コマンドについての詳細は、realm(8) man ページを参照してください。