D.2. 共通 ACL

このセクションでは、4 つのサブシステムタイプすべてに共通するデフォルトのアクセス制御設定を説明します。これらのアクセス制御ルールは、ユーザーやグループのログ記録や追加など、基本的で一般的な設定設定へのアクセスを管理します。
重要
これらの ACL は、各サブシステムインスタンスの acl.ldif ファイルで同じ ACL が発生するのが一般的です。これらは、設定ファイルまたは設定がすべてのサブシステムインスタンスによって共通に保持されるという意味で、共有 ACL ではありません。他のすべてのインスタンス設定と同様に、これらの ACL は、インスタンス固有の acl.ldif ファイルで、他のサブシステムインスタンスとは独立して維持されます。

D.2.1. certServer.acl.configuration

ACL 設定への操作を制御します。デフォルト設定は以下のようになります。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"

表D.2 certServer.acl.configuration ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read ACL リソースを表示し、ACL リソース、ACL リストエバリュエーター、および ACL エバリュエータータイプを一覧表示します。 許可
管理者
エージェント
監査者
modify ACL エバリュエーターの追加、削除、および更新。 許可 管理者

D.2.2. certServer.admin.certificate

Certificate Manager から証明書をインポートするユーザーを制御します。デフォルトでは、この操作はすべてのユーザーが許可されます。デフォルト設定は以下のようになります。
allow (import) user="anybody"
注記
このエントリーは、インスタンスの設定に使用される CA 管理 Web インターフェイスに関連付けられています。この ACL は、インスタンスの設定中にのみ使用可能であり、CA の実行後には使用できません。

表D.3 certServer.admin.certificate ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
import CA 管理者証明書をインポートして、シリアル番号で証明書を取得します。 許可 全ユーザー

D.2.3. certServer.auth.configuration

認証設定の操作を制御します。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators

表D.4 certServer.auth.configuration ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 認証プラグイン、認証タイプ、設定済みの認証マネージャープラグイン、および認証インスタンスを表示します。認証マネージャープラグインおよび認証マネージャーインスタンスを一覧表示します。 許可
管理者
エージェント
監査者
modify 認証プラグインおよび認証インスタンスを追加または削除します。認証インスタンスを変更します。 許可 管理者

D.2.4. certServer.clone.configuration

クローン作成で使用される設定情報を読み取り、変更できるユーザーを制御します。デフォルト設定は次のとおりです。
allow (modify,read) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators"

表D.5 certServer.clone.configuration ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 元のインスタンス設定を表示します。 許可 エンタープライズ管理者
modify 元のインスタンス設定を変更します。 許可 エンタープライズ管理者

D.2.5. certServer.general.configuration

CA の設定を表示および編集できるユーザーなど、サブシステムインスタンスの一般的な設定へのアクセスを制御します。
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";allow (modify) group="Administrators"

表D.6 certServer.general.configuration ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 管理用の運用環境、LDAP 設定、SMTP 設定、サーバー統計、暗号化、トークン名、証明書のサブジェクト名、証明書のニックネーム、サーバーによって読み込むすべてのサブシステム、CA 証明書、およびすべての証明書を表示します。 許可
管理者
エージェント
監査者
modify LDAP データベース、SMTP、および暗号化の設定を変更します。インポート証明書の発行、証明書のインストール、CA 証明書の信頼と信頼解除、クロスペア証明書のインポート、および証明書の削除。サーバーの再起動および停止操作を実行します。すべてのトークンにログインして、トークンのステータスを確認します。オンデマンドでセルフテストを実行します。証明書情報を取得します。証明書サブジェクト名を処理します。証明書サブジェクト名、証明書キーの長さ、および証明書拡張機能を検証します。 許可 管理者

D.2.6. certServer.log.configuration

ログ設定の変更など、Certificate Manager のログ設定へのアクセスを制御します。
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";allow (modify) group="Administrators"

表D.7 certServer.log.configuration ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read ログプラグインの情報、ログプラグイン設定、およびログインスタンス設定を表示します。ログプラグインおよびログインスタンスを一覧表示します (NTpixel を除く)。 許可
管理者
エージェント
監査者
modify ログプラグインおよびログインスタンスを追加し、削除します。ログロールオーバーパラメーターやログレベルなど、ログインスタンスを変更します。 許可 管理者

D.2.7. certServer.log.configuration.fileName

インスタンスのログのファイル名を変更するアクセスを制限します。
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";deny (modify) user=anybody

表D.8 certServer.log.configuration.fileName ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read ログインスタンスの fileName パラメーターの値を表示します。 許可
管理者
エージェント
監査者
modify ログインスタンスの fileName パラメーターの値を表示します。 却下 全ユーザー

D.2.8. certServer.log.content.system

インスタンスのログを表示できるユーザーを制御します。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors"

表D.9 certServer.log.content.system ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read ログの内容を表示します。すべてのログを一覧表示します。 許可
管理者
エージェント
監査者

D.2.9. certServer.log.content.transactions

インスタンスのトランザクションログを表示できるユーザーを制御します。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors"

表D.10 certServer.log.content.transactions ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read ログの内容を表示します。すべてのログを一覧表示します。 許可
管理者
エージェント
監査者

D.2.10. certServer.log.content.signedAudit

署名付き監査ログにアクセスできるユーザーを制御します。デフォルト設定は次のとおりです。
allow (read) group="Auditors"

表D.11 certServer.log.content.signedAudit ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read ログの内容を表示します。ログを一覧表示します。 許可
監査者

D.2.11. certServer.registry.configuration

プラグインモジュールの登録に使用されるファイルである管理レジストリーへのアクセスを制御します。現在、これは証明書プロファイルプラグインの登録にのみ使用されます。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"

表D.12 certServer.registry.configuration ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 管理レジストリー、サポートされているポリシー制約、プロファイルプラグインの設定、およびプロファイルプラグインのリストを表示します。 許可
管理者
エージェント
監査者
modify 個々のプロファイル実装プラグインを登録します。 許可 管理者