3.3. Gerenciando permissões de login para usuários de domínio

Por padrão, o controle de acesso do lado do domínio é aplicado, o que significa que as políticas de login para usuários do Active Directory (AD) são definidas no próprio domínio AD. Este comportamento padrão pode ser substituído para que seja utilizado o controle de acesso do lado do cliente. Com o controle de acesso do lado do cliente, a permissão de login é definida apenas pelas políticas locais.

Se um domínio aplica o controle de acesso do lado do cliente, você pode usar o realmd para configurar regras básicas de permissão ou negação de acesso para usuários daquele domínio.

Nota

As regras de acesso permitem ou negam o acesso a todos os serviços do sistema. Regras de acesso mais específicas devem ser definidas em um recurso específico do sistema ou no domínio.

3.3.1. Permitindo o acesso a usuários dentro de um domínio

Esta seção descreve como permitir o acesso a usuários dentro de um domínio.

Importante

É mais seguro permitir o acesso apenas a usuários ou grupos específicos do que negar o acesso a alguns, ao mesmo tempo em que permite o acesso a todos os outros. Portanto, não é recomendável permitir o acesso a todos por padrão, negando-o apenas a usuários específicos com permissão do reino -x. Ao invés disso, a Red Hat recomenda manter uma política default de não acesso para todos os usuários e conceder acesso somente a usuários selecionados usando a permissão do reino.

Pré-requisitos

  • Seu sistema RHEL é um membro do domínio do Active Directory.

Procedimento

  1. Conceder acesso a todos os usuários: 

    # licença do reino -- tudo

  2. Conceder acesso a usuários específicos: 

    $ realm permit aduser01@example.com
$ realm permit 'AD.EXAMPLE.COM\aduser01'

Atualmente, você só pode permitir o acesso a usuários em domínios primários e não a usuários em domínios confiáveis. Isto se deve ao fato de que o login do usuário deve conter o nome do domínio e o SSSD não pode atualmente fornecer informações sobre os domínios infantis disponíveis em realmd.

Etapas de verificação

  1. Use SSH para entrar no servidor como o usuário aduser01@example.com: 

    $ ssh aduser01@example.com@server_name
[aduser01@example.com@server_name ~]$

  2. Use o comando ssh uma segunda vez para acessar o mesmo servidor, desta vez como o usuário aduser02@example.com: 

    $ ssh aduser02@example.com@server_name
Authentication failed.

Observe como o aduser02@example.com é negado o acesso ao sistema. Você concedeu a permissão para entrar no sistema somente ao usuário do aduser01@example.com. Todos os outros usuários desse domínio do Active Directory são rejeitados por causa da política de login especificada.

Nota

Se você definir use_fully_qualified_names como verdadeiro no arquivo sssd.conf, todas as solicitações devem usar o nome de domínio totalmente qualificado. Entretanto, se você definir use_fully_qualified_names como falso, é possível usar o nome totalmente qualificado nas solicitações, mas somente a versão simplificada é exibida na saída.

Recursos adicionais

  • Veja a página de manual realm(8)`.