Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第10章 IdM ユーザーのアクセス制御の定義

アクセス制御は、マシン、サービス、エントリー、実行できる操作の種類などの特定のリソースにアクセスできるユーザーを定義する一連のセキュリティー機能です。Identity Management は複数のアクセス制御機能を提供し、付与されているアクセスの種類と、誰に付与されているかが明らかになります。この一環として、Identity Management は、ドメイン内のリソースへのアクセス制御と、IdM 設定自体へのアクセス制御を区別します。
本章では、IdM サーバーおよびその他の IdM ユーザーに対する IdM 内のユーザーに利用可能なさまざまな内部アクセス制御メカニズムについて説明します。

10.1. IdM エントリーのアクセス制御

アクセス制御は、他のユーザーやオブジェクトに対してユーザーが許可された操作を定義します。
Identity Management アクセス制御構造は、標準の LDAP アクセス制御に基づいています。IdM サーバー内のアクセスは、他の IdM エンティティー(Directory Server インスタンス)へのアクセスが許可されるバックエンド Directory Server インスタンスに保存されている IdM ユーザーに基づいています。
アクセス制御指示(ACI)には、以下の 3 つの部分があります。
Actor
これは、何かを実行するパーミッションを付与されるエンティティーです。LDAP アクセス制御モデルでは、ユーザーが で誰かを定義し、オプションでバインドの試行にその他の制限を要求することができるため、バインドルールと呼ばれます
ターゲット
これは、Actor が許可されている操作を実行する対象のエントリーを定義します。
操作タイプ
操作タイプ: 最後の部分は、ユーザーが実行できるアクションの種類を決定します。最も一般的な操作は、追加、削除、書き込み、読み取り、および検索です。Identity Management では、すべてのユーザーが暗示的に ldM ドメイン内のすべてのエントリーに対する読み取りおよび検索権限を付与されています。匿名ユーザーは、sudo ルールやホストベースのアクセス制御など、セキュリティー関連の設定の表示から制限されます。
任意の操作を試みると、IdM クライアントはまずバインド操作の一部としてユーザーの認証情報を送信します。バックエンド Directory Server はこれらのユーザー認証情報を確認してから、ユーザーアカウントをチェックして、ユーザーが要求された操作を実行するパーミッションを持っているかどうかを確認します。

10.1.1. Identity Management のアクセス制御メソッド

アクセス制御ルールの実装をシンプルかつ明確にするために、Identity Management はアクセス制御の定義を以下の 3 つのカテゴリーに分けています。
セルフサービスルール
セルフサービスルール。これは、ユーザーが自分のパーソナルエントリーで実行可能な操作を定義します。アクセス制御タイプは、エントリー内の属性への書き込みパーミッションのみを許可します。エントリー自体の追加操作や削除操作は許可されません。
委譲ルール
委任ルール。委任ルールでは、特定のユーザーグループが別のユーザーグループのユーザーの特定属性に対して書き込み(編集)操作を実行できます。セルフサービスルールのように、この形式のアクセス制御は特定の属性値の編集に制限されており、エントリー全体を追加または削除したり、未指定の属性に対する制御も許可しません。
ロールベースのアクセス制御
ロールベースのアクセス制御は、特別なアクセス制御グループを作成し、IdM ドメイン内のすべてのタイプのエンティティーに対するより幅広い権限が付与されます。ロールには編集、追加、および削除の権限が付与されるので、選択された属性だけでなくエントリー全体に対する完全な制御が付与されます。
Identity Management ですでに作成され、利用可能なロールもあります。ホスト、自動マウント設定、netgroups、DNS 設定、IdM 設定など、特定の方法であらゆるタイプのエントリーを管理するために、特別なロールを作成できます。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。