Show Table of Contents
2.5. グループポリシーオブジェクトのアクセス制御
グループポリシーは Microsoft Windows の機能の 1 つで、Active Directory (AD) 環境におけるユーザーおよびコンピューターのポリシーを管理者が 1 カ所で管理できるようにします。グループポリシーオブジェクト (GPO) は、名前と値のペアなどのポリシー設定の集合で、これらはドメインコントローラー (DC) に保存され、コンピューターやユーザーなどのポリシーターゲットに適用されます。AD 環境におけるコンピューターベースのアクセス制御の管理には、Windows ログオン権限 に関連する GPO ポリシー設定が一般的に使用されます。
2.5.1. SSSD と GPO アクセス制御の連携
SSSD が GPO のアクセス制御を適用できるように設定するには、SSSD はホストシステムと AD ユーザーに適用可能な GPO を取得します。取得した GPO 設定をもとに、SSSD は、ユーザーが特定のホストにログインできるかどうかを判断します。これにより、管理者は Linux と Windows クライアントが AD ドメインコントローラーで集約的に受け入れるログインポリシーを定義できるようになります。
重要
セキュリティーフィルタリングは、セキュリティーフィルターにリストすることで、GPO アクセス制御の範囲を特定のユーザー、グループまたはホストにさらに絞り込むことができる機能です。ただし、SSSD はそのセキュリティーフィルター内のユーザーおよびグループしかサポートしません。SSSD は、このセキュリティーフィルターのホストのエントリーを無視します。
SSSD が GPO アクセス制御が特定のシステムに適用されるようにするには、AD ドメインに新規の OU を作成し、OU にこのシステムを移動して、GPO をこの OU にリンクします。
2.5.2. SSSD がサポートする GPO 設定
表2.2 SSSD が取得する GPOアクセス制御オプション
| GPO オプション [a] | 対応の sssd.conf オプション [b] |
|---|---|
|
ローカルでのログインを許可します
ローカルでのログインを拒否します。
| ad_gpo_map_interactive |
|
リモートデスクトップサービスを使ったログオンを許可します
リモートデスクトップサービスを使ったログオンを拒否します
| ad_gpo_map_remote_interactive |
|
ネットワークから対象のコンピューターにアクセスします
ネットワークから対象のコンピューターへのアクセスを拒否します
| ad_gpo_map_network |
|
バッチジョブとしてログオンを許可します
バッチジョブとしてログオンを拒否します
| ad_gpo_map_batch |
|
サービスとしてログオンを許可します
サービスとしてログオンを拒否します
| ad_gpo_map_service |
[a]
Windows のグループポリシーマネージメントエディターで指定されています。
[b]
これらのオプションに関する詳細および、デフォルトで GPO オプションがマッピングされている、プラグ可能な認証モジュール (PAM) サービスについては、sssd-ad(5) man ページを参照してください。
| |
2.5.3. SSSD 用の GPO ベースのアクセス制御設定
GPO ベースのアクセス制御は、
/etc/sssd/sssd.conf ファイルで設定します。ad_gpo_access_control オプションは、GPO ベースのアクセス制御を実行するモードを指定します。以下の値を使用できます。
ad_gpo_access_control = permissivepermissiveの場合は、GPO ベースのアクセス制御は評価されますが、強制されません。アクセスが拒否されると、syslogメッセージが記録されます。これがデフォルト設定です。ad_gpo_access_control = enforcingenforcingの場合は、GPO ベースのアクセス制御は評価され、強制されます。ad_gpo_access_control = disableddisabledの場合は、GPO ベースのアクセス制御は評価も強制もされません。
重要
GPO ベースのアクセス制御を使用して
ad_gpo_access_control を enforcing モードに設定する前に、ad_gpo_access_control を permissive モードに設定してログを検証することが推奨されます。syslog メッセージを見直すことで現行の GPO 設定をテスト、調節してからその後で enforcing モードに設定することができます。
GPO ベースのアクセス制御に関連する以下のパラメーターも
sssd.conf ファイルで指定することができます。
ad_gpo_map_*オプションとad_gpo_default_rightでは、どの PAM サービスを特定の Windows ログイン権限にマッピングするかを設定します。PAM サービスを、固有の GPO 設定にマッピングされている PAM サービスのデフォルトリストに追加するか、リストからサービスを削除するには、ad_gpo_map_*オプションを使用します。たとえば、対話ログインにマッピングされた PAM サービスの一覧 (ローカルでのログオンを許可および拒否する GPO 設定) からsuサービスを削除するには、以下を実行します。ad_gpo_map_interactive = -su
ad_gpo_cache_timeoutオプションでは、後続のアクセス制御リクエストが DC から新たに取得するのではなく、キャッシュに保存されているファイルを再利用可能な間隔を指定します。
利用可能な GPO パラメーターの詳細一覧とその説明およびデフォルト値については、sssd-ad(5) man ページを参照してください。
2.5.4. その他のリソース
- SSSD と GPO を連携させるように設定する方法は、Red Hat ナレッジベースの 「Configure SSSD to respect Active Directory SSH or Console/GUI GPO」 を参照してください。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.