3.3.2. Negação de acesso a usuários dentro de um domínio

Esta seção descreve como negar o acesso a todos os usuários dentro de um domínio.

Importante

É mais seguro permitir o acesso apenas a usuários ou grupos específicos do que negar o acesso a alguns, ao mesmo tempo em que permite o acesso a todos os outros. Portanto, não é recomendável permitir o acesso a todos por padrão, negando-o apenas a usuários específicos com permissão do reino -x. Ao invés disso, a Red Hat recomenda manter uma política default de não acesso para todos os usuários e conceder acesso somente a usuários selecionados usando a permissão do reino.

Pré-requisitos

  • Seu sistema RHEL é um membro do domínio do Active Directory.

Procedimento

  1. Negar acesso a todos os usuários dentro do domínio:

    # negar o reino... tudo

    Este comando impede que as contas realm entrem na máquina local. Use realm permit para restringir o login a contas específicas.

  2. Verifique se o endereço login-policy do usuário do domínio está configurado para deny-any-login:

    [root@replica1 ~]# realm list
    example.net
      type: kerberos
      realm-name: EXAMPLE.NET
      domain-name: example.net
      configured: kerberos-member
      server-software: active-directory
      client-software: sssd
      required-package: oddjob
      required-package: oddjob-mkhomedir
      required-package: sssd
      required-package: adcli
      required-package: samba-common-tools
      login-formats: %U@example.net
      login-policy: deny-any-login
  3. Negar acesso a usuários específicos, utilizando a opção -x:

    Licença do reino -x 'AD.EXEMPLO.COM02aduser

Etapas de verificação

  • Use SSH para entrar no servidor como o usuário aduser01@example.net.

    $ ssh aduser01@example.net@server_name
    Authentication failed.
Nota

Se você definir use_fully_qualified_names como verdadeiro no arquivo sssd.conf, todas as solicitações devem usar o nome de domínio totalmente qualificado. Entretanto, se você definir use_fully_qualified_names como falso, é possível usar o nome totalmente qualificado nas solicitações, mas somente a versão simplificada é exibida na saída.

Recursos adicionais

  • Veja a página de manual realm(8)`.