第30章 ホストベースのアクセス制御の設定

本章では、Identity Management (IdM) での host-based access control (HBAC) や、IdM ドメインでのアクセス制御管理に HBAC を使用する方法について説明します。

30.1. IdM での Host-Based Access Control の機能

Host-based access control は、指定のサービス (またはサービスグループ内のサービス) を使用して、指定のホスト (またはホストグループ) にアクセスできるユーザーを定義します。たとえば、以下が可能です。
  • ドメイン内の指定のシステムへのアクセスを、特定のユーザーグループに所属するメンバーに制限すること
  • ドメイン内のシステムにアクセスして特定のサービスだけを使用できるようにすること
管理者は、HBAC ルール と呼ばれる許可ルールを使用して、host-based access control を設定します。デフォルトでは、IdM には allow_all という名前のデフォルトの HBAC ルールで設定されています。このルールでは、IdM ドメイン全体にアクセスできます。

HBAC ルールのグループへの適用

アクセス制御管理を集約して簡素化するには、個別のユーザー、ホスト、またはサービスではなく、全ユーザー、ホスト、またはサービスグループに HBAC ルールを適用できます。
ホストグループとホストベースのアクセス制御

図30.1 ホストグループとホストベースのアクセス制御

グループに HBAC ルールを適用する際には、automember ルール の使用を検討してください。「ユーザーおよびホストの自動グループメンバーシップの定義」を参照してください。