11.9.9.3. 管理 CLI を用いたユーザーロール割り当ての設定
include (含まれる) および exclude (除外) されるユーザーロールは、管理コンソールおよび 管理 CLI で設定できます。ここでは、管理 CLI を使用した設定のみを説明します。
ユーザーおよびグループをロールへマッピングする設定は、管理 API の
role-mapping 要素とする /core-service=management/access=authorization にあります。
SuperUser または Administrator ロールのユーザーのみがこの設定を行えます。
コマンドへのアクセスを容易にするため、管理 CLI では
/core-service=management/access=authorization の場所を変更します。
[standalone@localhost:9999] cd /core-service=management/access=authorization
手順11.14 ロール割り当て設定の表示
- :read-children-names 操作を使用して、設定されたロールの完全リストを取得します。
/core-service=management/access=authorization:read-children-names(child-type=role-mapping)
[standalone@localhost:9999 access=authorization] :read-children-names(child-type=role-mapping) { "outcome" => "success", "result" => [ "Administrator", "Deployer", "Maintainer", "Monitor", "Operator", "SuperUser" ] } - 指定されたロールマッピングの
read-resource操作を使用して、特定ロールの完全詳細を取得します。/core-service=management/access=authorization/role-mapping=ROLENAME:read-resource(recursive=true)
[standalone@localhost:9999 access=authorization] ./role-mapping=Administrator:read-resource(recursive=true) { "outcome" => "success", "result" => { "include-all" => false, "exclude" => undefined, "include" => { "user-theboss" => { "name" => "theboss", "realm" => undefined, "type" => "USER" }, "user-harold" => { "name" => "harold", "realm" => undefined, "type" => "USER" }, "group-SysOps" => { "name" => "SysOps", "realm" => undefined, "type" => "GROUP" } } } } [standalone@localhost:9999 access=authorization]
手順11.15 新規ロールの追加
この手順は、ロールのロールマッピングエントリーを追加する方法を示しています。ロールを設定する前にこの手順を実行する必要があります。
add操作を使用して、新しいロール設定を追加します。/core-service=management/access=authorization/role-mapping=ROLENAME:add
ROLENAME は新しいマッピングに対するロール名です。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor:add {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
手順11.16 ロールに include されるユーザーの追加
この手順では、ユーザーをロールの include されたリストに追加する方法を説明します。
ロールの設定が行われていない場合は、最初にロールマッピングエントリーの設定を行う必要があります。
add操作を使用して、ユーザーエントリーをロールの include リストに追加します。/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:add(name=USERNAME, type=USER)
ROLENAME は設定されたロールの名前です。ALIASはこのマッピングの一意名です。Red Hat は、user-USERNAMEなどのエイリアスに命名規則を使用することを推奨します。USERNAME は、include リストに追加されたユーザーの名前です。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/include=user-max:add(name=max, type=USER) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
手順11.17 ロールに exclude されるユーザーの追加
この手順では、ユーザーをロールの exclude されたリストに追加する方法を説明します。
ロールの設定が行われていない場合は、最初にロールマッピングエントリーの設定を行う必要があります。
add操作を使用して、ユーザーエントリーをロールの exclude リストに追加します。/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:add(name=USERNAME, type=USER)
ROLENAME は設定されたロールの名前です。USERNAME は、exclude リストに追加されたユーザーの名前です。ALIASはこのマッピングの一意名です。Red Hat は、user-USERNAMEなどのエイリアスに命名規則を使用することを推奨します。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/exclude=user-max:add(name=max, type=USER) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
手順11.18 ユーザーロールの include 設定の削除
この手順では、ロールマッピングからユーザー include エントリーを削除する方法を説明します。
remove操作を使用してエントリーを削除します。/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:remove
ROLENAME は設定されたロールの名前です。ALIASはこのマッピングの一意名です。Red Hat は、user-USERNAMEなどのエイリアスに命名規則を使用することを推奨します。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/include=user-max:remove {"outcome" => "success"} [standalone@localhost:9999 access=authorization]include リストからユーザーを削除しても、ユーザーはシステムから削除されず、ロールがユーザーに割り当てられなくなる保証はありません。ロールはグループメンバーシップを基に割り当てられる可能性があります。
手順11.19 ユーザーロールの exclude 設定の削除
この手順では、ロールマッピングからユーザー exclude エントリーを削除する方法を説明します。
remove操作を使用してエントリーを削除します。/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:remove
ROLENAME は設定されたロールの名前です。ALIASはこのマッピングの一意名です。Red Hat は、user-USERNAMEなどのエイリアスに命名規則を使用することを推奨します。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/exclude=user-max:remove {"outcome" => "success"} [standalone@localhost:9999 access=authorization]exclude リストからユーザーを削除しても、ユーザーはシステムから削除されず、ロールがユーザーに割り当てられる保証はありません。ロールはグループメンバーシップを基に除外される可能性があります。
