Red Hat Training

A Red Hat training course is available for RHEL 8

41.4. Definición de una ACL de CA para controlar el acceso a los perfiles de certificado

Este procedimiento describe cómo utilizar la utilidad caacl para definir una regla de lista de control de acceso (ACL) de CA para permitir a los usuarios de un grupo el acceso a un perfil de certificado personalizado. En este caso, el procedimiento describe cómo crear un grupo de usuarios S/MIME y una ACL de CA para permitir a los usuarios de ese grupo el acceso al perfil de certificado smime.

Requisitos previos

  • Asegúrate de haber obtenido las credenciales de administrador de IdM.

Procedimiento

  1. Cree un nuevo grupo para los usuarios del modelo de certificado:

    $ ipa group-add smime_users_group
    ---------------------------------
    Added group "smime users group"
    ---------------------------------
      Group name: smime_users_group
      GID: 75400001
  2. Cree un nuevo usuario para añadirlo al grupo smime_user_group:

    $ ipa user-add smime_user
    First name: smime
    Last name: user
    ----------------------
    Added user "smime_user"
    ----------------------
      User login: smime_user
      First name: smime
      Last name: user
      Full name: smime user
      Display name: smime user
      Initials: TU
      Home directory: /home/smime_user
      GECOS: smime user
      Login shell: /bin/sh
      Principal name: smime_user@IDM.EXAMPLE.COM
      Principal alias: smime_user@IDM.EXAMPLE.COM
      Email address: smime_user@idm.example.com
      UID: 1505000004
      GID: 1505000004
      Password: False
      Member of groups: ipausers
      Kerberos keys available: False
  3. Añada el smime_user al grupo smime_users_group:

    $ ipa group-add-member smime_users_group --users=smime_user
      Group name: smime_users_group
      GID: 1505000003
      Member users: smime_user
    -------------------------
    Number of members added 1
    -------------------------
  4. Cree la ACL de la CA para permitir que los usuarios del grupo accedan al perfil del certificado:

    $ ipa caacl-add smime_acl
    ------------------------
    Added CA ACL "smime_acl"
    ------------------------
      ACL name: smime_acl
      Enabled: TRUE
  5. Añada el grupo de usuarios a la ACL de la CA:

    $ ipa caacl-add-user smime_acl --group smime_users_group
      ACL name: smime_acl
      Enabled: TRUE
      User Groups: smime_users_group
    -------------------------
    Number of members added 1
    -------------------------
  6. Añada el modelo de certificado a la ACL de la CA:

    $ ipa caacl-add-profile smime_acl --certprofile smime
      ACL name: smime_acl
      Enabled: TRUE
      Profiles: smime
      User Groups: smime_users_group
    -------------------------
    Number of members added 1
    -------------------------

Pasos de verificación

  • Vea los detalles de la CA ACL que ha creado:

    $ ipa caacl-show smime_acl
      ACL name: smime_acl
      Enabled: TRUE
      Profiles: smime
      User Groups: smime_users_group
    ...

Recursos adicionales

  • Véase la página de manual ipa.
  • Para más detalles sobre el comando ipa caacl, consulte el comando ipa help caacl.