第19章 Bootstrap ユーザーの削除

重要
ブートストラップユーザーを削除する前に、18章ロールユーザーの作成 の説明に従って実際の PKI 管理ユーザーを作成します。
ブートストラップユーザーを削除するには、『Red Hat Certificate System 管理ガイド』 の Certificate System ユーザーの削除 セクションで説明されている手順に従います。

19.1. マルチロールサポートの無効化

デフォルトでは、ユーザーは一度に複数のサブシステムグループに属することができ、ユーザーは複数のロールとして機能できます。たとえば、John Smith はエージェントと管理者グループの両方に属する可能性があります。ただし、安全性の高い環境では、サブシステムのロールを制限して、ユーザーが 1 つのロールにしか所属できないようにする必要があります。そのためには、インスタンスの設定で multirole 属性を無効にします。
すべてのサブシステムの場合:
  1. サーバーを停止します。
    # systemctl stop pki-tomcatd@instance_name.service
    または (nuxwdog watchdog を使用している場合)
    # systemctl stop pki-tomcatd-nuxwdog@instance_name.service
  2. CS.cfg ファイルを開きます。
    vim /var/lib/pki/instance_name/ca/conf/CS.cfg
  3. multiroles.enable パラメーターの値を true から false に変更します。
  4. マルチロール設定に影響のある Certificate System のデフォルトロールリストを追加または編集します。複数のロールが無効になっており、ユーザーが multiroles.false.groupEnforceList パラメーターににリストされているロールの 1 つ に属している場合、ユーザーはリスト内の他のロールのグループに追加することができません。
    multiroles.false.groupEnforceList=Administrators,Auditors,Trusted Managers,Certificate Manager Agents,Registration Manager Agents,Key Recovery Authority Agents,Online Certificate Status Manager Agents,Token Key Service Manager Agents,Enterprise CA Administrators,Enterprise KRA Adminstrators,Enterprise OCSP Administrators,Enterprise TKS Administrators,Enterprise TPS Administrators,Security Domain Administrators,Subsystem Group
  5. サービスを再起動します。
    # systemctl start pki-tomcatd@instance_name.service
    または (nuxwdog watchdog を使用している場合)
    # systemctl start pki-tomcatd-nuxwdog@instance_name.service