第11章 Ansible Playbook を使用した IdM でのロールベースアクセス制御の管理

ロールベースアクセス制御 (RBAC) は、ロールおよび権限関連を定義する、ポリシーに依存しないアクセス制御メカニズムです。Identity Management (IdM) の RBAC のコンポーネントは、ロール、権限、パーミッションです。

  • パーミッション は、ユーザーの追加または削除、グループの変更、読み取りアクセスの有効化など、特定のタスクを実行する権限を付与します。
  • 特権 は、権限を組み合わせます。たとえば、新しいユーザーを追加するために必要なすべてのパーミッションです。
  • ロール は、ユーザー、ユーザーグループ、ホスト、またはホストグループに特権のセットを付与します。

特に大企業では、RBAC を使用すると、責任の領域を個別に設定する階層管理システムを作成できます。

本章では、Ansible Playbook を使用した RBAC の管理時に行う以下の操作について説明します。

11.1. IdM の権限

パーミッションは、ロールベースのアクセス制御の最低レベル単位であり、操作が適用される LDAP エントリーとともに操作を定義します。ブロックを構築するのと同様に、パーミッションは必要に応じて多くの権限に割り当てることができます。
1 つ以上の 権限 は許可される操作を定義します。

  • write
  • read
  • search
  • compare
  • add
  • delete
  • all

これらの操作は、3 つの基本的な ターゲット に適用されます。

  • subtree - ドメイン名( DN) (この DN のサブツリー)
  • ターゲットフィルター: LDAP フィルター
  • target: ワイルドカードを使用したエントリーの指定が可能な DN

また、以下の便利なオプションは対応する属性を設定します。

  • タイプ: オブジェクトのタイプ (ユーザー、グループなど) (subtree および target filter を設定します)。
  • memberof: グループのメンバー。ターゲットフィルター を設定します。
  • targetgroup: 特定のグループの変更 (グループメンバーシップの管理権限の付与など) を変更するアクセスを付与します (ターゲットを設定します)。

IdM パーミッションを使用すると、どのユーザーがどのオブジェクトにアクセスできるか、さらにこのようなオブジェクトの属性にアクセスできるかどうかを制御できます。IdM を使用すると、個別の属性を許可または拒否したり、ユーザー、グループ、sudo などの特定の IdM 機能を、全匿名ユーザー、全認証済みユーザー、または特定の特権ユーザーグループ限定などと、全体的な表示設定を変更したりできます。
たとえば、このアプローチではパーミッション指定に柔軟性があるので、アクセスが必要な特定のセクションのみにユーザーまたはグループのアクセスを制限し、他のセクションをこれらのユーザーまたはグループには完全に表示されないように設定する場合に、管理者にとって便利です。

注記

パーミッションには他のパーミッションを含めることはできません。