6.8.3. パーミッション組み合わせポリシーの変更
パーミッション組み合わせポリシーは、ユーザーに複数のロールが割り当てられている場合にどのようにパーミッションを判断するかを決定します。このポリシーは、
permissive
または rejecting
に設定できます。デフォルトは permissive
です。
permissive
に設定されると、アクションを許可するロールがユーザーに割り当てられている場合に、そのアクションが許可されます。
rejecting
に設定された場合、複数のロールが割り当てられたユーザーはすべてのアクションが禁止されます。そのため、ポリシーが rejecting
に設定された場合は、各ユーザーに 1 つのロールのみが割り当てられるようにします。ポリシーが rejecting
に設定されると、複数のロールが割り当てられたユーザーは管理コンソールや管理 CLI を使用できません。
パーミッション組み合わせポリシーを設定するには、
permission-combination-policy
属性を permissive
または rejecting
に設定します。これは管理 CLI を使用して設定できますが、サーバーがオフラインの場合はサーバー設定 XML ファイルを編集して設定できます。
手順6.3 パーミッション組み合わせポリシーの設定
- アクセス承認リソースの
write-attribute
操作を使用してpermission-combination-policy
属性を必要なポリシー名に設定します。/core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=POLICYNAME)
有効なポリシー名は rejecting と permissive です。[standalone@localhost:9999 /] /core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=rejecting) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
サーバーがオフラインの場合は、XML 設定を編集してパーミッション組み合わせポリシーの値を変更できます。これを行うには、アクセス制御要素の
permission-combination-policy
属性を編集します。
<access-control provider="rbac" permission-combination-policy="rejecting"> <role-mapping> <role name="SuperUser"> <include> <user name="$local"/> </include> </role> </role-mapping> </access-control>