2.5. グループポリシーオブジェクトのアクセス制御

グループポリシーは Microsoft Windows の機能の 1 つで、Active Directory (AD) 環境におけるユーザーおよびコンピューターのポリシーを管理者が 1 カ所で管理できるようにします。グループポリシーオブジェクト (GPO) は、名前と値のペアなどのポリシー設定の集合で、これらはドメインコントローラー (DC) に保存され、コンピューターやユーザーなどのポリシーターゲットに適用されます。AD 環境におけるコンピューターベースのアクセス制御の管理には、Windows ログオン権限 に関連する GPO ポリシー設定が一般的に使用されます。

2.5.1. SSSD と GPO アクセス制御の連携

SSSD が GPO のアクセス制御を適用できるように設定するには、SSSD はホストシステムと AD ユーザーに適用可能な GPO を取得します。取得した GPO 設定をもとに、SSSD は、ユーザーが特定のホストにログインできるかどうかを判断します。これにより、管理者は Linux と Windows クライアントが AD ドメインコントローラーで集約的に受け入れるログインポリシーを定義できるようになります。

重要

セキュリティーフィルタリングは、セキュリティーフィルターにリストすることで、GPO アクセス制御の範囲を特定のユーザー、グループまたはホストにさらに絞り込むことができる機能です。ただし、SSSD はそのセキュリティーフィルター内のユーザーおよびグループしかサポートしません。SSSD は、このセキュリティーフィルターのホストのエントリーを無視します。
SSSD が GPO アクセス制御が特定のシステムに適用されるようにするには、AD ドメインに新規の OU を作成し、OU にこのシステムを移動して、GPO をこの OU にリンクします。

2.5.2. SSSD がサポートする GPO 設定

表2.2 SSSD が取得する GPOアクセス制御オプション

GPO オプション [a]対応の sssd.conf オプション [b]
ローカルでのログインを許可します
ローカルでのログインを拒否します。
ad_gpo_map_interactive
リモートデスクトップサービスを使ったログオンを許可します
リモートデスクトップサービスを使ったログオンを拒否します
ad_gpo_map_remote_interactive
ネットワークから対象のコンピューターにアクセスします
ネットワークから対象のコンピューターへのアクセスを拒否します
ad_gpo_map_network
バッチジョブとしてログオンを許可します
バッチジョブとしてログオンを拒否します
ad_gpo_map_batch
サービスとしてログオンを許可します
サービスとしてログオンを拒否します
ad_gpo_map_service
[a] Windows のグループポリシーマネージメントエディターで指定されています。
[b] これらのオプションに関する詳細および、デフォルトで GPO オプションがマッピングされている、プラグ可能な認証モジュール (PAM) サービスについては、sssd-ad(5) man ページを参照してください。

2.5.3. SSSD 用の GPO ベースのアクセス制御設定

GPO ベースのアクセス制御は、/etc/sssd/sssd.conf ファイルで設定します。ad_gpo_access_control オプションは、GPO ベースのアクセス制御を実行するモードを指定します。以下の値を使用できます。
ad_gpo_access_control = permissive
permissive の場合は、GPO ベースのアクセス制御は評価されますが、強制されません。アクセスが拒否されると、syslog メッセージが記録されます。これがデフォルト設定です。
ad_gpo_access_control = enforcing
enforcing の場合は、GPO ベースのアクセス制御は評価され、強制されます。
ad_gpo_access_control = disabled
disabled の場合は、GPO ベースのアクセス制御は評価も強制もされません。

重要

GPO ベースのアクセス制御を使用して ad_gpo_access_control を enforcing モードに設定する前に、ad_gpo_access_control を permissive モードに設定してログを検証することが推奨されます。syslog メッセージを見直すことで現行の GPO 設定をテスト、調節してからその後で enforcing モードに設定することができます。
GPO ベースのアクセス制御に関連する以下のパラメーターも sssd.conf ファイルで指定することができます。
  • ad_gpo_map_* オプションと ad_gpo_default_right では、どの PAM サービスを特定の Windows ログイン権限にマッピングするかを設定します。
    PAM サービスを、固有の GPO 設定にマッピングされている PAM サービスのデフォルトリストに追加するか、リストからサービスを削除するには、ad_gpo_map_* オプションを使用します。たとえば、対話ログインにマッピングされた PAM サービスの一覧 (ローカルでのログオンを許可および拒否する GPO 設定) から su サービスを削除するには、以下を実行します。
    ad_gpo_map_interactive = -su
  • ad_gpo_cache_timeout オプションでは、後続のアクセス制御リクエストが DC から新たに取得するのではなく、キャッシュに保存されているファイルを再利用可能な間隔を指定します。
利用可能な GPO パラメーターの詳細一覧とその説明およびデフォルト値については、sssd-ad(5) man ページを参照してください。

2.5.4. その他のリソース