Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 22. Gestión de los controles de acceso basados en funciones mediante la interfaz web de IdM

Este capítulo presenta el control de acceso basado en roles en la Gestión de Identidades (IdM) y describe las siguientes operaciones en la interfaz web (Web UI):

22.1. Control de acceso basado en roles en IdM

El control de acceso basado en roles (RBAC) en IdM otorga un tipo de autoridad muy diferente a los usuarios en comparación con los controles de acceso de autoservicio y de delegación.

El control de acceso basado en roles se compone de tres partes:

  • Permissions concede el derecho a realizar una tarea específica, como añadir o eliminar usuarios, modificar un grupo, habilitar el acceso de lectura, etc.
  • Privileges combina los permisos, por ejemplo, todos los permisos necesarios para añadir un nuevo usuario.
  • Roles concede un conjunto de privilegios a usuarios, grupos de usuarios, hosts o grupos de hosts.

22.1.1. Permisos en IdM

Los permisos son la unidad de nivel más bajo del control de acceso basado en roles, definen las operaciones junto con las entradas LDAP a las que se aplican dichas operaciones. Comparable a los bloques de construcción, los permisos pueden asignarse a tantos privilegios como sea necesario.
Uno o más rights definen qué operaciones están permitidas:

  • write
  • read
  • search
  • compare
  • add
  • delete
  • all

Estas operaciones se aplican a tres direcciones básicas targets:

  • subtree: un nombre de dominio (DN); el subárbol bajo este DN
  • target filter: un filtro LDAP
  • target: DN con posibles comodines para especificar las entradas

Además, las siguientes opciones de conveniencia establecen los atributos correspondientes:

  • type: un tipo de objeto (usuario, grupo, etc.); establece subtree y target filter
  • memberof: miembros de un grupo; establece un target filter
  • targetgroup: concede el acceso para modificar un grupo específico (como la concesión de los derechos para gestionar la pertenencia a un grupo); establece un target

Con los permisos de IdM, puede controlar qué usuarios tienen acceso a qué objetos e incluso a qué atributos de estos objetos. IdM le permite permitir o bloquear atributos individuales o cambiar toda la visibilidad de una función específica de IdM, como usuarios, grupos o sudo, a todos los usuarios anónimos, a todos los usuarios autenticados o sólo a un determinado grupo de usuarios privilegiados.
Por ejemplo, la flexibilidad de este enfoque de los permisos es útil para un administrador que quiere limitar el acceso de los usuarios o grupos sólo a las secciones específicas a las que estos usuarios o grupos necesitan acceder y hacer que las otras secciones estén completamente ocultas para ellos.

Nota

Un permiso no puede contener otros permisos.

22.1.2. Permisos gestionados por defecto

Los permisos gestionados son permisos que vienen por defecto con IdM. Se comportan como otros permisos creados por el usuario, con las siguientes diferencias:

  • No se pueden eliminar ni modificar sus atributos de nombre, ubicación y destino.

  • Tienen tres conjuntos de atributos:

    • Default atributos, el usuario no puede modificarlos, ya que son gestionados por IdM
    • Included atributos, que son atributos adicionales añadidos por el usuario
    • Excluded atributos, que son atributos eliminados por el usuario

Un permiso gestionado se aplica a todos los atributos que aparecen en los conjuntos de atributos predeterminados e incluidos, pero no en el conjunto excluido.

Nota

Aunque no se puede eliminar un permiso gestionado, si se establece su tipo de enlace como permiso y se elimina el permiso gestionado de todos los privilegios, se desactiva de forma efectiva.

Los nombres de todos los permisos gestionados comienzan con System:, por ejemplo System: Add Sudo rule o System: Modify Services. Las versiones anteriores de IdM utilizaban un esquema diferente para los permisos por defecto. Por ejemplo, el usuario no podía eliminarlos y sólo podía asignarlos a los privilegios. La mayoría de estos permisos por defecto se han convertido en permisos gestionados, sin embargo, los siguientes permisos siguen utilizando el esquema anterior:

  • Añadir la tarea de reconstrucción de miembros automáticos
  • Añadir subentradas de configuración
  • Añadir acuerdos de replicación
  • Certificado Retirar Retención
  • Obtener el estado de los certificados de la CA
  • Rango de lectura del ADN
  • Modificar la gama de ADN
  • Leer la configuración de los gestores de PassSync
  • Modificar la configuración de los gestores de PassSync
  • Leer los acuerdos de replicación
  • Modificar los acuerdos de replicación
  • Eliminar los acuerdos de replicación
  • Leer la configuración de la base de datos LDBM
  • Solicitar certificado
  • Solicitar certificado ignorando las ACL de la CA
  • Solicitar certificados de un host diferente
  • Recuperar certificados de la CA
  • Revocar el certificado
  • Escribir la configuración IPA
Nota

Si intentas modificar un permiso gestionado desde la línea de comandos, el sistema no te permite cambiar los atributos que no puedes modificar, el comando falla. Si intentas modificar un permiso gestionado desde la interfaz web, los atributos que no puedes modificar están desactivados.

22.1.3. Privilegios en IdM

Un privilegio es un grupo de permisos aplicables a un rol.
Mientras que un permiso proporciona los derechos para hacer una sola operación, hay ciertas tareas de IdM que requieren múltiples permisos para tener éxito. Por lo tanto, un privilegio combina los diferentes permisos necesarios para realizar una tarea específica.
Por ejemplo, añadir un usuario requiere los siguientes permisos:

  • Crear una nueva entrada de usuario
  • Restablecer la contraseña de un usuario
  • Añadir el nuevo usuario al grupo de usuarios IPA por defecto

La combinación de estas tres tareas de bajo nivel en una tarea de nivel superior en forma de privilegio denominada Add User facilita la gestión de los roles. Además de usuarios y grupos de usuarios, también se asignan privilegios a hosts y grupos de hosts, así como a servicios de red. Esta práctica permite un control detallado de las operaciones de un conjunto de usuarios en un conjunto de hosts que utilizan servicios de red específicos.

Nota

Un privilegio no puede contener otros privilegios.

22.1.4. Roles en IdM

Un rol es una lista de privilegios que los usuarios especificados para el rol poseen.
En efecto, los permisos conceden la capacidad de realizar determinadas tareas de bajo nivel (crear una entrada de usuario, añadir una entrada a un grupo, etc.), los privilegios combinan uno o más de estos permisos necesarios para una tarea de nivel superior (como crear un nuevo usuario en un grupo determinado). Las funciones reúnen los privilegios necesarios: por ejemplo, una función de administrador de usuarios podría añadir, modificar y eliminar usuarios.

Importante

Los roles se utilizan para clasificar las acciones permitidas. No se utilizan como una herramienta para implementar la separación de privilegios o para proteger de la escalada de privilegios.

Nota

Los roles no pueden contener otros roles.

22.1.5. Funciones predefinidas en la gestión de identidades

Red Hat Identity Management proporciona la siguiente gama de funciones predefinidas:

Tabla 22.1. Roles predefinidos en la gestión de identidades

PapelPrivilegioDescripción

Servicio de asistencia técnica

Modificación de usuarios y restablecimiento de contraseñas, modificación de la pertenencia a grupos

Responsable de realizar tareas sencillas de administración de usuarios

Especialista en seguridad informática

Administradores de Netgroups, Administrador de HBAC, Administrador de Sudo

Responsable de la gestión de la política de seguridad, como los controles de acceso basados en el host, las reglas sudo

Especialista en TI

Administradores de hosts, administradores de grupos de hosts, administradores de servicios, administradores de autómatas

Responsable de la gestión de los anfitriones

Arquitecto de seguridad

Administrador de Delegación, Administradores de Replicación, Configuración IPA de Escritura, Administrador de Políticas de Contraseña

Responsable de la gestión del entorno de gestión de identidades, la creación de fideicomisos, la creación de acuerdos de replicación

Administrador de usuarios

Administradores de usuarios, administradores de grupos, administradores de usuarios de escenario

Responsable de la creación de usuarios y grupos