Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.6.3. SSSD の GPO ベースのアクセス制御の設定

GPO ベースのアクセス制御は /etc/sssd/sssd.conf ファイルで設定できます。ad_gpo_access_control オプションは、GPO ベースのアクセス制御を実行するモードを指定します。以下の値を使用できます。
ad_gpo_access_control = permissive
permissive の場合は、GPO ベースのアクセス制御は評価されますが、強制されません。syslog メッセージは、アクセスが拒否される度に復元されます。これはデフォルト設定です。
ad_gpo_access_control = enforcing
enforcing の場合は、GPO ベースのアクセス制御は評価され、強制されます。
ad_gpo_access_control = disabled
disabled の場合は、GPO ベースのアクセス制御は評価も強制もされません。
重要
GPO ベースのアクセス制御を使用し、ad_gpo_access_control を Enforcing モードに設定する前に、ad_gpo_access_control を Permissive モードに設定し、ログを調べることが推奨されます。syslog メッセージを見直すことで現行の GPO 設定をテスト、調節してからその後で enforcing モードに設定することができます。
GPO ベースのアクセス制御に関連する以下のパラメーターも sssd.conf ファイルで指定することができます。
  • ad_gpo_map_* オプションと、ad_gpo_default_right オプションは、特定の Windows ログオン権限にマッピングされる PAM サービスを設定します。
    PAM サービスを、特定の GPO 設定にマッピングされた PAM サービスのデフォルトリストに追加するか、一覧からサービスを削除するには、ad_gpo_map_* オプションを使用します。たとえば、インタラクティブなログインにマッピングされた PAM サービスの一覧から su サービスを削除する (GPO 設定のローカルでのログオンの許可、およびローカルでのログオンの拒否) には、以下を行います。
    ad_gpo_map_interactive = -su
  • ad_gpo_cache_timeout オプションは、後続のアクセス制御リクエストが DC から取得するのではなく、キャッシュに保存されているファイルを再利用できる間隔を指定します。
使用できる GPO パラメーターの詳細なリストと、その説明およびデフォルト値は、sssd-ad(5) の man ページを参照してください。