Show Table of Contents
11.9.10. Configurer les contraintes
11.9.10.1. Configurez les contraintes de sensibilité
Chaque contrainte de sensibilité définit un ensemble de ressources qui sont considérées comme « sensibles ». Une ressource sensible est généralement une ressource qui doit être tenue secrète, comme les mots de passe, ou une ressource qui aura de graves répercussions sur le serveur, comme la mise en réseau, la configuration de la JVM ou les propriétés système. Le système de contrôle d'accès lui-même est également considéré comme sensible. La sensibilité des ressources limite quels rôles sont capables de lire, écrire ou répondre à une ressource spécifique.
La configuration de contraintes de sensibilité se trouve dans l'API de gestion à l'adresse suivante :
/core-service=management/access=authorization/constraint=sensitivity-classification.
Dans le modèle de gestion, chaque contrainte de ressource est identifiée en tant que
classification. Les classifications sont ensuite regroupées en types. Il existe 39 catégories incluses qui sont regroupées en 13 types.
Pour configurer une contrainte de sensibilité, l'opération
write-attribut permet de paramétrer les attributs configured-requires-read, configured-requires-write, ou configured-requires-addressable. Pour rendre ce type d'opération sensible, définir la valeur de l'attribut à true, sinon, pour le rendre non sensible, le définir à la valeur false. Par défaut, ces attributs ne sont pas définis et les valeurs default-requires-read, default-requires-write, et default-requires-addressable seront utilisées. Une fois que l'attribut est configuré, ce sera cette valeur qui sera utilisée à la place de la valeur par défaut. Impossible de modifier les valeurs par défaut.
Exemple 11.25. Comment rendre les propriétés système des opérations sensibles.
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=sensitivity-classification/type=core/classification=system-property
[domain@localhost:9999 classification=system-property] :write-attribute(name=configured-requires-read, value=true)
{
"outcome" => "success",
"result" => undefined,
"server-groups" => {"main-server-group" => {"host" => {"master" => {
"server-one" => {"response" => {"outcome" => "success"}},
"server-two" => {"response" => {"outcome" => "success"}}
}}}}
}
[domain@localhost:9999 classification=system-property] :read-resource
{
"outcome" => "success",
"result" => {
"configured-requires-addressable" => undefined,
"configured-requires-read" => true,
"configured-requires-write" => undefined,
"default-requires-addressable" => false,
"default-requires-read" => false,
"default-requires-write" => true,
"applies-to" => {
"/host=master/system-property=*" => undefined,
"/host=master/core-service=platform-mbean/type=runtime" => undefined,
"/server-group=*/system-property=*" => undefined,
"/host=master/server-config=*/system-property=*" => undefined,
"/host=master" => undefined,
"/system-property=*" => undefined,
"/" => undefined
}
}
}
[domain@localhost:9999 classification=system-property]
Les rôles qui seront en mesure d'effectuer ces opérations en fonction de la configuration de ces attributs sont résumés dans Tableau 11.6, « Résultats des configurations de contraintes de sensibilité ».
Tableau 11.6. Résultats des configurations de contraintes de sensibilité
| Valeur | requires-read | requires-write | requires-addressable |
|---|---|---|---|
true
|
L'opération lecture est sensible.
Seuls les rôles
Auditor, Administrator, et SuperUser peuvent lire.
|
L'opération écriture est sensible.
Seuls les rôles
Administrator et SuperUser peuvent écrire.
|
L'opération Adressage est sensible.
Seuls les rôles d'
Auditor, Administrator, et SuperUser peuvent lire.
|
false
|
L'opération lecture n'est pas sensible.
Tous les utilisateurs de gestion peuvent lire.
|
L'opération écriture n'est pas sensible.
Les rôles
Maintainer, Administrator, et SuperUser peuvent écrire. Les rôles Deployers peuvent également écrire dans une ressource d'applications.
|
L'opération Adressage n'est pas sensible.
Tous les utilisateurs de gestion peuvent adresser.
|
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.