Menu Close
Settings Close

Language and Page Formatting Options

3.5.3. GPO 強制を制御する SSSD オプションの一覧

次の SSSD オプションを設定して、GPO ルールの範囲を制限できます。

ad_gpo_access_control オプション

/etc/sssd/sssd.conf ファイルに ad_gpo_access_control オプションを設定して、GPO ベースのアクセス制御が動作する 3 種類のモードを選択できます。

表3.2 ad_gpo_access_control の値の表


ad_gpo_access_control の値
動作

enforcing

GPO ベースのアクセス制御ルールが評価され、適用されます。
これは、RHEL 8 ではデフォルトの設定です。

permissive

GPO ベースのアクセス制御ルールは評価されますが、強制されません。syslog メッセージは、アクセスが拒否される度に記録されます。これは、RHEL 7 ではデフォルトの設定です。
このモードは、ユーザーがログインを継続できるように、ポリシーの調整をテストするのに適しています。

disabled

GPO ベースのアクセス制御ルールは、評価も強制もされません。

ad_gpo_implicit_deny オプション

ad_gpo_implicit_deny オプションは、デフォルトで False に設定されます。このデフォルトの状態では、適用可能な GPO が見つからない場合にユーザーがアクセスが許可されます。このオプションを True に設定する場合は、GPO ルールを使用したユーザーアクセスを明示的に許可する必要があります。

この機能を使用してセキュリティーを強化することはできますが、アクセスを意図せずに拒否しないように注意してください。Red Hat は、ad_gpo_access_controlpermissive に設定されている間に、この機能をテストすることを推奨します。

以下の表では、AD サーバー側で定義したログイン権限と ad_gpo_implicit_deny の値に基づいてユーザーがアクセスを許可または拒否されるタイミングを表しています。

表3.3 ad_gpo_implicit_denyFalse (デフォルト) に設定されているログイン動作

allow-rulesdeny-rules結果

なし

なし

すべてのユーザーが許可

なし

あり

deny-rules でないユーザーのみが許可

あり

なし

allow-rules のユーザーのみを許可

あり

あり

allow-rules のユーザーのみが許可されますが、拒否ルールでは許可されません

表3.4 ad_gpo_implicit_denyTrue に設定されているログイン動作

allow-rulesdeny-rules結果

なし

なし

すべてのユーザーを拒否

なし

あり

すべてのユーザーを拒否

あり

なし

allow-rules のユーザーのみを許可

あり

あり

allow-rules のユーザーのみが許可されますが、拒否ルールでは許可されません

関連情報

  • SSSD で GPO 強制モードを変更する手順は、GPO アクセス制御モードの変更 を参照してください。
  • さまざまな GPO モードの詳細は、sssd-ad(5) man ページの ad_gpo_access_control のエントリーを参照してください。