第18章 ロールユーザーの作成

「デフォルトの管理ロール」 の説明にあるように、ブートストラップユーザーがインストール時に作成されていました。インストール後に、実際のユーザーを作成して、適切なシステム特権を割り当てます。各ユーザーは、1 つのロール (グループ) のみのメンバーである必要があります。
本章では、以下を行う方法を説明します。
  • オペレーティングシステム上での Certificate System の管理ユーザーの作成
  • Certificate Systemでの PKI ロールの作成

18.1. オペレーティングシステムでの PKI 管理ユーザーの作成

このセクションは、管理者ロールユーザーを対象にしています。agent および Auditor ロールユーザー。「証明書システムでの PKI ロールユーザーの作成」 を参照してください。
一般に、Certificate System の管理者、エージェント、および監査人は、コマンドラインユーティリティー、Java コンソール、ブラウザーなどのクライアントアプリケーションを使用して、Certificate System インスタンスをリモートで管理できます。大多数の CS 管理タスクでは、Certificate System ロールユーザーは、インスタンスを実行するホストマシンにログインする必要はありません。たとえば、監査人のユーザーは検証のために署名された監査ログをリモートで取得でき、エージェントロールのユーザーはエージェントインターフェースを使用して証明書の発行を承認でき、管理者ロールのユーザーはコマンドラインユーティリティーを使用してプロファイルを構成できます。
ただし、場合によっては、Certificate System 管理者は、ホストシステムにログインして構成ファイルを直接変更するか、Certificate System インスタンスを開始または停止する必要があります。したがって、オペレーティングシステムでは、管理者ロールユーザーは、構成ファイルに変更を加えたり、Red Hat Certificate System に関連付けられたさまざまなログを読み取ったりできるユーザーである必要があります。
注記
Certificate System の管理者または監査人以外の人が監査ログファイルにアクセスすることを許可しないでください。
  1. オペレーティングシステムに pkiadmin グループを作成します。
    # groupadd -r pkiadmin
  2. pkiuserpkiadmin グループに追加します。
    # usermod -a -G pkiadmin pkiuser
  3. オペレーティングシステムでユーザーを作成します。たとえば、jsmith アカウントを作成するには、次のコマンドを実行します。
    # useradd -g pkiadmin -d /home/jsmith -s /bin/bash -c "Red Hat Certificate System Administrator John Smith" -m jsmith
    詳細は、useradd(8) の man ページを参照してください。
  4. これにより、ユーザー jsmithpkiadmin グループに追加します。
    # usermod -a -G pkiadmin jsmith
    詳細は、usermod(8) の man ページを参照してください。
    nCipher ハードウェアセキュリティーモジュール (HSM) を使用している場合は、HSM デバイスを管理するユーザーを nfast グループに追加します。
    # usermod -a -G nfast pkiuser
    # usermod -a -G nfast jsmith
  5. 適切な sudo ルールを追加して、pkiadmin グループをCertificate Systemおよびその他のシステムサービスに許可します。
    管理とセキュリティーの両方を簡素化するために、Certificate System と Directory Server のプロセスを構成して、(rootだけでなく) PKI 管理者がサービスを開始および停止できるようにすることができます。
    サブシステムの設定に推奨されるオプションは、pkiadmin のシステムグループを使用することです。(詳細は 「Certificate System のオペレーティングシステムのユーザーおよびグループ」 です)。Certificate System 管理者であるすべてのオペレーティングシステムユーザーがこのグループに追加されます。pkiadmin のシステムグループが存在する場合は、特定のタスクを実行するための sudo アクセスを付与することができます。
    1. /etc/sudoers ファイルを編集します。Red Hat Enterprise Linux では、これは visudo コマンドを使用して実行できます。
      # visudo
    2. マシンにインストールされているものに応じて、Directory Server、Administration Server、PKI 管理ツール、および各 PKI サブシステムインスタンスの行を追加して、pkiadmin グループに sudo 権限を付与します。
      # For Directory Server services
      %pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv.target
      %pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv-admin.service
      
      # For PKI instance management
      %pkiadmin ALL = PASSWD: /usr/sbin/pkispawn *
      %pkiadmin ALL = PASSWD: /usr/sbin/pkidestroy *
      
      # For PKI instance services
      %pkiadmin ALL = PASSWD: /usr/bin/systemctl * pki-tomcatd@instance_name.service
      
    重要
    マシン上のすべての Certificate System、Directory Server、および Administration Server に対して、またマシン上のそれらのインスタンスに対して のみ、sudo パーミッションを設定してください。マシンに同じサブシステムタイプのインスタンスが複数存在する場合と、サブシステムタイプのインスタンスが存在しない場合があります。これはデプロイメントによって異なります。
  6. 以下のファイルのグループを pkiadmin に設定します。
    # chgrp pkiadmin /etc/pki/instance_name/server.xml
    # chgrp -R pkiadmin /etc/pki/instance_name/alias
    # chgrp pkiadmin /etc/pki/instance_name/subsystem/CS.cfg
    # chgrp pkiadmin /var/log/pki/instance_name/subsystem/debug
オペレーティングシステムで管理ユーザーを作成したら、「証明書システムでの PKI ロールユーザーの作成」 の手順に従います。