3.4. Aplicando a política de grupo Controle de acesso a objetos na RHEL

Um Group Policy Object (GPO) é uma coleção de configurações de controle de acesso armazenadas no Microsoft Active Directory (AD) que pode ser aplicado a computadores e usuários em um ambiente AD. Ao especificar GPOs no AD, os administradores podem definir políticas de login honradas tanto por clientes Windows quanto por hosts do Red Hat Enterprise Linux (RHEL) unidos ao AD.

As seções seguintes descrevem como você pode gerenciar GPOs em seu ambiente:

3.4.1. Como a SSSD interpreta as regras de controle de acesso do GPO

Por padrão, o SSSD recupera objetos de política de grupo (GPOs) dos controladores de domínio do Active Directory (AD) e os avalia para determinar se um usuário tem permissão para fazer login em um host RHEL em particular juntado ao AD.

O SSSD mapeia o AD Windows Logon Rights para nomes de serviços do Módulo de Autenticação Plugável (PAM) para reforçar essas permissões em um ambiente GNU/Linux.

Como Administrador AD, você pode limitar o escopo das regras do GPO a usuários, grupos ou anfitriões específicos, listando-os em uma lista security filter.

3.4.1.1. Limitações à filtragem por hospedeiros

Versões mais antigas do SSSD não avaliam os hospedeiros nos filtros de segurança AD GPO.

  • RHEL 8.3.0 and newer: SSSD suporta usuários, grupos e hosts em filtros de segurança.
  • RHEL versions older than 8.3.0: O SSSD ignora as entradas do host e só suporta usuários e grupos em filtros de segurança.
    Para garantir que o SSSD aplique controle de acesso baseado em GPO a um host específico, crie uma nova Unidade Organizacional (OU) no domínio AD, mova o sistema para a nova OU e, em seguida, conecte a GPO a esta OU.

3.4.1.2. Limitações da filtragem por grupos

O SSSD atualmente não suporta os grupos incorporados no Active Directory, como Administrators com o Security Identifier (SID) S-1-5-32-544. A Red Hat recomenda contra o uso de grupos incorporados de AD nos GPOs AD direcionados aos hosts RHEL.

Recursos adicionais