3.4.4. Mudando o modo de controle de acesso do GPO

Este procedimento muda a forma como as regras de controle de acesso baseadas em GPO são avaliadas e aplicadas em um host RHEL unido a um ambiente Active Directory (AD).

Neste exemplo, você mudará o modo de operação do GPO de enforcing (o padrão) para permissive para fins de teste.

Importante

Se você vir os seguintes erros, os usuários do Active Directory não poderão fazer login devido aos controles de acesso baseados em GPO:

  • Em /var/log/secure: 

    Oct 31 03:00:13 client1 sshd[124914]: pam_sss(sshd:account): Access denied for user aduser1: 6 (Permission denied)
Oct 31 03:00:13 client1 sshd[124914]: Failed password for aduser1 from 127.0.0.1 port 60509 ssh2
Oct 31 03:00:13 client1 sshd[124914]: fatal: Access denied for user aduser1 by PAM account configuration [preauth]

  • Em /var/log/sssd/sssd__example.com_.log: 

    (Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_perform_hbac_processing] (0x0040): GPO access check failed: [1432158236](Host Access Denied)
(Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_cse_done] (0x0040): HBAC processing failed: [1432158236](Host Access Denied}
(Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_access_done] (0x0040): GPO-based access control failed.

Se este for um comportamento indesejado, você pode definir temporariamente ad_gpo_access_control para permissive, como descrito neste procedimento, enquanto você resolve problemas com as configurações GPO adequadas no AD.

Pré-requisitos

  • Você juntou um host RHEL a um ambiente AD usando SSSD.
  • A edição do arquivo de configuração /etc/sssd/sssd.conf requer root permissões.

Procedimento

  1. Parar o serviço SSSD. 

    [root@server ~]# systemctl stop sssd
  2. Abra o arquivo /etc/sssd/sssd.conf em um editor de texto.

  3. Defina ad_gpo_access_control para permissive na seção domain para o domínio AD. 

    [domain/example.com]
ad_gpo_access_control=permissive
...
  4. Salvar o arquivo /etc/sssd/sssd.conf.

  5. Reinicie o serviço SSSD para carregar as mudanças de configuração. 

    [root@server ~]# systemctl restart sssd

Recursos adicionais