CAPÍTULO 3. GESTIÓN DE LAS CONEXIONES DIRECTAS CON AD
1. Elimine un sistema de un dominio de identidad mediante el comando realm leave El comando elimina la configuración del dominio de SSSD y del sistema local.
3.4. APLICACIÓN DEL CONTROL DE ACCESO A LOS OBJETOS DE LA DIRECTIVA DE GRUPO EN RHEL
Un Group Policy Object (GPO) es una colección de configuraciones de control de acceso almacenadas en Microsoft Active Directory (AD) que pueden aplicarse a equipos y usuarios en un entorno AD. Al especificar los GPO en AD, los administradores pueden definir las políticas de inicio de sesión que honran tanto los clientes de Windows como los hosts de Red Hat Enterprise Linux (RHEL) unidos a AD. Las siguientes secciones describen cómo puede administrar los GPO en su entorno:
Sección 3.4.1, “Cómo interpreta SSSD las reglas de control de acceso de GPO” Sección 3.4.2, “Lista de configuraciones de GPO que admite SSSD”
Sección 3.4.3, “Lista de opciones de SSSD para controlar la aplicación de GPO” Sección 3.4.4, “Cambiar el modo de control de acceso de GPO”
Sección 3.4.5, “Creación y configuración de un GPO para un host RHEL en la GUI de AD”
3.4.1. Cómo interpreta SSSD las reglas de control de acceso de GPO
Por defecto, SSSD recupera los objetos de política de grupo (GPO) de los controladores de dominio de Active Directory (AD) y los evalúa para determinar si un usuario puede iniciar sesión en un determinado host RHEL unido a AD.
SSSD mapea AD Windows Logon Rights a los nombres de servicio del Módulo de Autenticación Conectable (PAM) para imponer esos permisos en un entorno GNU/Linux.
Como administrador de AD, puede limitar el alcance de las reglas de GPO a usuarios, grupos o hosts específicos mediante una lista en security filter.
3.4.1.1. Limitaciones del filtrado por hosts
Las versiones más antiguas de SSSD no evalúan los hosts en los filtros de seguridad de AD GPO. RHEL 8.3.0 and newer: SSSD admite usuarios, grupos y hosts en los filtros de seguridad. RHEL versions older than 8.3.0: SSSD ignora las entradas de host y sólo admite usuarios y grupos en los filtros de seguridad.
Para garantizar que SSSD aplique el control de acceso basado en GPO a un host específico, cree una nueva unidad organizativa (OU) en el dominio de AD, mueva el sistema a la nueva OU y, a continuación, vincule el GPO a esta OU.
3.4.1.2. Limitaciones del filtrado por grupos
SSSD actualmente no es compatible con los grupos incorporados de Active Directory, como
Administrators con Security Identifier (SID) S-1-5-32-544. Red Hat recomienda no utilizar los grupos
integrados de AD en los GPOs de AD dirigidos a los hosts RHEL. Recursos adicionales
Para obtener una lista de las opciones de GPO de Windows y sus correspondientes opciones de SSSD, consulte Lista de opciones de GPO que admite SSSD .
3.4.2. Lista de configuraciones de GPO que admite SSSD
La siguiente tabla muestra las opciones de SSSD que se corresponden con las opciones de GPO de Active Directory tal y como se especifican en Group Policy Management Editor en Windows.
Tabla 3.1. Opciones de control de acceso GPO recuperadas por SSSD
Opción GPO Opción correspondiente sssd.conf
Permitir el inicio de sesión localmente Denegar el inicio de sesión localmente
ad_gpo_map_interactive
Permitir el inicio de sesión a través de
los Servicios de Escritorio Remoto Denegar el inicio de sesión a través de los Servicios de Escritorio Remoto
ad_gpo_map_remote_interactive
Acceder a este ordenador desde la red
Denegar el acceso a este ordenador desde la red
Permitir el inicio de sesión como trabajo por lotes Denegar el inicio de sesión como trabajo por lotes
ad_gpo_map_batch
Permitir el inicio de sesión como servicio Denegar el inicio de sesión como servicio
ad_gpo_map_service
Opción GPO Opción correspondiente sssd.conf
Para obtener más información sobre estas configuraciones de sssd.conf, como los servicios de Pluggable Authentication Module (PAM) que se asignan a las opciones de GPO, consulte la entrada de la página sssd-ad(5) Manual.
3.4.3. Lista de opciones de SSSD para controlar la aplicación de GPO
3.4.3.1. La opción
ad_gpo_access_controlPuede configurar la opción ad_gpo_access_control en el archivo /etc/sssd/sssd.conf para elegir entre tres modos diferentes en los que funciona el control de acceso basado en GPO.
Tabla 3.2. Tabla de valores ad_gpo_access_control Valor de
ad_gpo_access_control
Comportamiento
enforcing Las reglas de control de acceso basadas en GPO son evaluadas y aplicadas.
This is the default setting in RHEL 8.
permissive Las reglas de control de acceso basadas en GPO se evalúan pero se aplican en not; se registra un mensaje
syslog cada vez que se deniega el acceso. Esta es la configuración por defecto en RHEL 7.
Este modo es ideal para probar los ajustes de las políticas mientras se permite a los usuarios seguir iniciando sesión.
disabled Las reglas de control de acceso basadas en GPO no se evalúan ni se aplican.
3.4.3.2. La opción
ad_gpo_implicit_denyLa opción ad_gpo_implicit_deny está configurada por defecto en False. En este estado
predeterminado, se permite el acceso a los usuarios si no se encuentran los GPO aplicables. Si establece esta opción en True, debe permitir explícitamente el acceso de los usuarios con una regla de GPO. Puede utilizar esta función para reforzar la seguridad, pero tenga cuidado de no denegar el acceso involuntariamente. Red Hat recomienda probar esta función mientras ad_gpo_access_control está configurado en permissive.
Las dos tablas siguientes ilustran cuándo se permite o rechaza el acceso de un usuario en función de los derechos de inicio de sesión permitidos y denegados definidos en el lado del servidor de AD y el valor de ad_gpo_implicit_deny.
Tabla 3.3. Comportamiento del inicio de sesión con ad_gpo_implicit_deny configurado como False (default)
allow-rules deny-rules resultado
falta falta todos los usuarios están autorizados
falta presente sólo se permite a los usuarios que no están en deny- rules
presente falta sólo se permite a los usuarios en allow-rules presente presente sólo se permite a los usuarios en allow-rules y no en
deny-rules
Tabla 3.4. Comportamiento del inicio de sesión con ad_gpo_implicit_deny configurado como True
allow-rules deny-rules resultado
falta falta no se permiten usuarios falta presente no se permiten usuarios
presente falta sólo se permite a los usuarios en allow-rules presente presente sólo se permite a los usuarios en allow-rules y no en
deny-rules
Recursos adicionales
Para conocer el procedimiento para cambiar el modo de aplicación de GPO en SSSD, consulte
Cambio del modo de control de acceso de GPO .
Para más detalles sobre cada uno de los diferentes modos de funcionamiento de GPO, consulte la entrada ad_gpo_access_control en la página del Manual sssd-ad(5).
3.4.4. Cambiar el modo de control de acceso de GPO
Este procedimiento cambia la forma en que se evalúan y aplican las reglas de control de acceso basadas en GPO en un host RHEL unido a un entorno de Active Directory (AD).
En este ejemplo, se cambiará el modo de funcionamiento del GPO de enforcing (el predeterminado) a
permissive con fines de prueba.
IMPORTANTE
Si ve los siguientes errores, los usuarios de Active Directory no pueden iniciar sesión debido a los controles de acceso basados en GPO:
En /var/log/secure:
Oct 31 03:00:13 client1 sshd[124914]: pam_sss(sshd:account): Access denied for user aduser1: 6 (Permission denied)
Oct 31 03:00:13 client1 sshd[124914]: Failed password for aduser1 from 127.0.0.1 port 60509 ssh2
Oct 31 03:00:13 client1 sshd[124914]: fatal: Access denied for user aduser1 by PAM account configuration [preauth]
En /var/log/sssd/sssd__example.com_.log:
(Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]]
[ad_gpo_perform_hbac_processing] (0x0040): GPO access check failed: [1432158236](Host Access Denied)
(Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_cse_done] (0x0040): HBAC processing failed: [1432158236](Host Access Denied} (Sat Oct 31 03:00:13 2020) [sssd[be[example.com]]] [ad_gpo_access_done] (0x0040): GPO-based access control failed.
Si este es un comportamiento no deseado, puede establecer temporalmente
ad_gpo_access_control en permissive como se describe en este procedimiento
mientras soluciona la configuración correcta de GPO en AD. Requisitos previos
Ha unido un host RHEL a un entorno AD utilizando SSSD.
La edición del archivo de configuración de /etc/sssd/sssd.conf requiere permisos de root. Procedimiento
1. Detenga el servicio SSSD.
[root@server ~]# systemctl stop sssd