Q&A
「設定を行ってもうまくいきませんでした」は「グループ制限できず、ログインできた」ですか?
実際の TerminalServerUsers の設定、ログインできる/できないユーザー名など、具体的な情報を教えてください。
お世話になります。
タイトルの件ですが、先日AWS WorkSpaces Amazon Linux2を作成しxrdpをインストールを行いました。
WorkSpaces作成時AD Connectを利用してADと連携させていますが、下記サイトのようにAD内の特定のグループに
所属しているメンバーのみをxrdp接続できるように設定を行いたいのですが、設定を行ってもうまくいきませんでした。
https://hmunakata.hatenadiary.org/entry/20110728/1311835717
しかし、xrdpの設定ファイル内には記載されていないDomain Adminsグループに所属しているメンバーはなぜかxrdp接続することができています。
sesman.ini [Security] AllowRootLogin=true MaxLoginRetry=4 TerminalServerUsers=××××\mfaadmins TerminalServerAdmins=tsadmins ; When AlwaysGroupCheck=false access will be permitted ; if the group TerminalServerUsers is not defined. AlwaysGroupCheck=false ; When RestrictOutboundClipboard=true clipboard from the ; server is not pushed to the client. RestrictOutboundClipboard=false
追記:上記のTerminalServerUsersを××××\domain adminsに変更したところグループに所属するメンバーは接続できました。
変更せずデフォルトのtsusersのままでもDomain Adminsグループのメンバーは接続が可能でした。
$ sudo groups test@××××.local test@××××.local : ××××\domain users ××××\test ××××\mfaadmins
最初は作成したWorkSpacesがドメイン参加できていないのかと思い、下記URLを参考にドメイン参加をさせようとしたのですが
確認した設定ファイル内の値はドメインの情報がはいっており、wbinfo -gコマンドを実行した際にAD上に存在するグループ情報を
確認することができました。
https://qiita.com/gitya107/items/fcf32350ac9e25ab65d1
ドメイン参加状況 [root@△△△△ ~]# realm discover ××××.local ××××.local type: kerberos realm-name: ××××.LOCAL domain-name: ××××.local configured: kerberos-member server-software: active-directory client-software: winbind required-package: oddjob-mkhomedir required-package: oddjob required-package: samba-winbind-clients required-package: samba-winbind required-package: samba-common-tools login-formats: ××××\%U login-policy: allow-any-login
どなたかご教授いただけませんでしょうか。宜しくお願い致します。
ご指摘ありがとうございます。
TerminalServerUsersの設定をアクセスさせたいグループ(A)に変更を行い、テストアカウント(B)をメンバーに追加しましたがxrdpで接続することができませんでした。
アカウントBをDomain AdminsのグループのメンバーにするもしくはグループAをDomain Adminsに登録するなどすればxrdpで接続することができました。
ただ、今回アクセスさせたいメンバーにはDomain Adminsの権限は付与しないようにしたいと思っています。
TerminalServerUsers=(A) を設定して制限が効いているので、グループ(A)にユーザー(B)が属していないのでは?
「id 'ユーザー(B)'」でユーザー(B) が属しているグループに (A) がありますか?
返信遅くなりすみません。
TerminalServerUsers=(A)と設定しユーザー(B)を間違いなくグループ(A)に所属させていますが接続することができませんでした。
> ユーザー(B)を間違いなくグループ(A)に所属させていますが
Amazon Linux 2 側からそれを認識できているかどうかを id コマンドで確認したかったのですが、どうでしょうか。多分、認識できているのでしょうけれど、念のため。
TerminalServerUsers=(A)と設定しても "Domain Admins" ユーザーでログインできるのですか???
もし、そうであれば、sesman.ini の設定に問題があるか、xrdp を再起動していないかだと思います。
あと、可能であれば、第三者が客観的に判断できるような具体的な情報(実際の設定やコマンド出力)を示した方がいいと思います。
ご返信ありがとうございます。
設定内容などを質問文に記載しました。また「TerminalServerUsers=(A)と設定しても "Domain Admins" ユーザーでログインできるのですか?」とのことですが再度確認したところ接続できませんでした。
ActiveDirectory との連携は winbind ですか? それとも sssd + realmd ですか?
同じ環境を用意できないのですが、winbind の場合、なぜか TerminalServerUsers がプライマリグループと一致しないとログインできませんでした。
ご返信ありがとうございます。
返信遅くなりましたがwinbindで連携しているかと思います。WorkSpaceの作成時にディレクトリサービスを選択して作成しているので自分で後から連携の設定を行ってはいません。
先日修正した質問文に# realm discover ××××.localを実行した結果を記載していますが結果内に
client-software: winbindと記述があるのでwinbindで連携されているかと思います。
回答1件
0
自己解決
本件について自己解決しましたので内容を記載いたします。
gitter内にxrdpの質問コミュニティを見つけたので質問をしたところ、xrdp内の設定ではなくWorkSpaceのアクセス制限が原因で接続できないとのことでした。
WorkSpaceの/etc/security/access.conf内のの設定に接続させたいグループを追加することで解決できました。
下記WorkSpaceのヘルプページが参考になりました。
https://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/manage_linux_workspace.html
投稿2021/12/21 03:01
総合スコア13
あなたの回答
tips
プレビュー
