Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第10章 IdM ユーザーのアクセス制御の定義

アクセス制御は、マシン、サービス、エントリーなどの特定のリソースにアクセスできるユーザーや、実行可能な操作の種類を定義するセキュリティー機能のセットです。IdentityIdentity Management は複数のアクセス制御機能を提供し、付与されているアクセスの種類と、誰に付与されているかを明確にします。このの一環として、IdentityIdentity Management はドメイン内のリソースへのアクセス制御と IdM 設定自体へのアクセス制御の違いを引き出します。
本章では、IdM サーバーおよび他の IdM ユーザーに対する IdM 内のユーザーに利用可能な異なる内部アクセス制御メカニズムを説明しています。

10.1. IdM エントリーのアクセス制御

アクセス制御は、他のユーザーやオブジェクトに対してユーザーが許可された操作についての権限やパーミッションを定義します。
IdentityIdentity Managementnbsp;Management アクセス制御構造は、標準の LDAP アクセス制御に基づいています。IdM サーバー内のアクセスは、他の IdM エンティティーへのアクセスが許可されるバックエンドの DirectoryDirectory Servernbsp;Server インスタンスに保存されている IdM ユーザーに基づいています。また、DirectoryDirectory Servernbsp;Server インスタンスの LDAP エントリーとして保存されます。
アクセス制御指示 (ACI) には、以下の 3 つの部分があります。
アクター
これは、何かを実行するためのパーミッションが付与されているエンティティーです。これはユーザーが誰かを定義し、1 日のある時間帯や特定のマシンに試行を制限するなど、オプションでバインドの試行に対して他の制限を必須とすることが可能なため、LDAP アクセス制御モデルではバインドルールと呼ばれます。
ターゲット
これは、Actor が許可されている操作を実行する対象のエントリーを定義します。
操作タイプ
操作タイプ — 最後の部分は、ユーザーが実行できるアクションの種類を判断します。最も一般的な操作は、追加、削除、書き込み、読み取り、および検索です。IdentityIdentity Management では、すべてのユーザーが暗黙的に IdM ドメインの全エントリーに対する読み取りおよび検索権限を付与します。ただし、パスワードや Kerberos 鍵などの機密属性のみに制限があります。匿名ユーザーは、sudo ルールやホストベースのアクセス制御など、セキュリティー関連の設定は読み取ることができません。
いかなる操作でもそれが試行されると、IdM クライアントはまずバインド操作の一部としてユーザーの認証情報を送信します。バックエンド DirectoryDirectory ServerServer は、これらのユーザーの認証情報を確認してから、ユーザーアカウントをチェックして、ユーザーが要求された操作を実行するパーミッションを持っているかどうかを確認します。

10.1.1. IdentityIdentity Management のアクセス制御メソッド

アクセス制御ルールの実装をシンプルかつ明確にするために、IdentityIdentity Management Management はアクセス制御の定義を 3 つのカテゴリーに分割します。
セルフサービスルール
セルフサービスルール。これは、ユーザーが自分のパーソナルエントリーで実行可能な操作を定義します。アクセス制御タイプは、エントリー内での属性への書き込みパーミッションのみを許可します。エントリー自体の追加もしくは削除操作は許可されません。
委譲ルール
委譲ルールでは、特定のユーザーグループが、別のユーザーグループ内のユーザーの特定の属性に対して書き込み (編集) 操作を実行できます。セルフサービスルールのように、この形式のアクセス制御は特定の属性値の編集に制限されており、エントリー全体を追加したり削除する権限や特定されていない属性に対する制御を付与するものではありません。
ロールベースのアクセス制御
ロールベースのアクセス制御では特別のアクセス制御グループが作成され、このグループに IdM ドメイン内での全タイプのエントリーに対するより幅広い権限が付与されます。ロールには編集、追加、および削除の権限が付与されるので、選択された属性だけでなくエントリー全体に対する完全な制御が付与されます。
IdentityIdentity Management ですでに作成され、利用可能なロールもあります。ホストや自動マウント設定、netgroup、DNS 設定、および IdM 設定など、すべてのタイプのエントリーを特別な方法で管理するために、特別なロールを作成することもできます。