Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 21. Gerenciando controles de acesso baseados em funções na IdM usando o CLI

Este capítulo introduz o controle de acesso baseado em funções no Gerenciamento de Identidade (IdM) e descreve as seguintes operações na interface de linha de comando (CLI):

21.1. Controle de acesso baseado no papel na IdM

O controle de acesso baseado no papel (RBAC) na IdM concede um tipo muito diferente de autoridade aos usuários em comparação com o auto-serviço e os controles de acesso das delegações.

O controle de acesso baseado no papel é composto de três partes:

  • Permissions conceder o direito de realizar uma tarefa específica, como adicionar ou excluir usuários, modificar um grupo, permitir o acesso de leitura, etc.
  • Privileges combinar permissões, por exemplo, todas as permissões necessárias para adicionar um novo usuário.
  • Roles concede um conjunto de privilégios aos usuários, grupos de usuários, anfitriões ou grupos anfitriões.

21.1.1. Permissões na IdM

As permissões são a unidade de nível mais baixo de controle de acesso baseado em funções, elas definem operações junto com as entradas LDAP às quais essas operações se aplicam. Em comparação com os blocos de construção, as permissões podem ser atribuídas a tantos privilégios quantos forem necessários.
Um ou mais rights definem quais operações são permitidas:

  • write
  • read
  • search
  • compare
  • add
  • delete
  • all

Estas operações aplicam-se a três operações básicas targets:

  • subtree: um nome de domínio (DN); a sub-árvore sob este DN
  • target filter: um filtro LDAP
  • target: DN com possíveis wildcards para especificar as entradas

Além disso, as seguintes opções de conveniência definem o(s) atributo(s) correspondente(s):

  • type: um tipo de objeto (usuário, grupo, etc.); conjuntos subtree e target filter
  • memberof: membros de um grupo; estabelece um target filter
  • targetgroup: concede acesso para modificar um grupo específico (como a concessão dos direitos de administrar a adesão ao grupo); estabelece um target

Com as permissões da IdM, você pode controlar quais usuários têm acesso a quais objetos e até quais atributos desses objetos. IdM permite que você permita ou bloqueie atributos individuais ou altere toda a visibilidade de uma função IdM específica, como usuários, grupos ou sudo, para todos os usuários anônimos, todos os usuários autenticados, ou apenas um certo grupo de usuários privilegiados.
Por exemplo, a flexibilidade desta abordagem de permissões é útil para um administrador que deseja limitar o acesso de usuários ou grupos apenas às seções específicas que estes usuários ou grupos precisam acessar e tornar as outras seções completamente ocultas para eles.

Nota

Uma permissão não pode conter outras permissões.

21.1.2. Permissões gerenciadas por padrão

As permissões gerenciadas são permissões que vêm por padrão com a IdM. Elas se comportam como outras permissões criadas pelo usuário, com as seguintes diferenças:

  • Não é possível apagá-los ou modificar seu nome, localização e atributos de destino.
  • Eles têm três conjuntos de atributos:

    • Default, o usuário não pode modificá-los, pois eles são gerenciados pela IdM
    • Included atributos, que são atributos adicionais adicionados pelo usuário
    • Excluded atributos, que são atributos removidos pelo usuário

Uma permissão administrada se aplica a todos os atributos que aparecem no conjunto de atributos padrão e incluídos, mas não no conjunto excluído.

Nota

Embora você não possa excluir uma permissão administrada, a definição de seu tipo de vinculação à permissão e a remoção da permissão administrada de todos os privilégios efetivamente a desativa.

Os nomes de todas as permissões gerenciadas começam com System:, por exemplo System: Add Sudo rule ou System: Modify Services. As versões anteriores do IdM usavam um esquema diferente para as permissões padrão. Por exemplo, o usuário não podia excluí-las e só podia atribuí-las a privilégios. A maioria destas permissões padrão foi transformada em permissões gerenciadas, entretanto, as seguintes permissões ainda utilizam o esquema anterior:

  • Acrescentar a Tarefa de Associação Automember Rebuild
  • Adicionar subentendimentos de configuração
  • Adicionar Acordos de Replicação
  • Retirada de certificado de retenção
  • Obter o status dos Certificados da CA
  • Ler a gama de DNA
  • Modificar a faixa de DNA
  • Leia a configuração dos gerentes do PassSync
  • Modificar a configuração dos gerentes do PassSync
  • Ler Acordos de Replicação
  • Modificar os Acordos de Replicação
  • Remover Acordos de Replicação
  • Leia Configuração do banco de dados LDBM
  • Solicitar Certificado
  • Solicitar Certificado ignorando as ACLs CA
  • Solicitar certificados de um anfitrião diferente
  • Recuperar Certificados do CA
  • Certificado de Revogação
  • Escreva a configuração IPA
Nota

Se você tentar modificar uma permissão gerenciada da linha de comando, o sistema não permite que você altere os atributos que você não pode modificar, o comando falha. Se você tentar modificar uma permissão gerenciada da Web UI, os atributos que você não pode modificar são desativados.

21.1.3. Privilégios na IdM

Um privilégio é um grupo de permissões aplicáveis a uma função.
Enquanto uma permissão fornece os direitos de fazer uma única operação, existem certas tarefas da IdM que requerem múltiplas permissões para ter sucesso. Portanto, um privilégio combina as diferentes permissões necessárias para realizar uma tarefa específica.
Por exemplo, a adição de um usuário requer as seguintes permissões:

  • Criando uma nova entrada de usuário
  • Redefinição de uma senha de usuário
  • Adicionando o novo usuário ao grupo padrão de usuários IPA

A combinação destas três tarefas de baixo nível em uma tarefa de nível superior na forma de um privilégio chamado Add User facilita a gestão de papéis. Além de usuários e grupos de usuários, os privilégios também são atribuídos a hosts e grupos anfitriões, assim como a serviços de rede. Esta prática permite um controle de operações granulado fino por um conjunto de usuários em um conjunto de hosts que utilizam serviços de rede específicos.

Nota

Um privilégio não pode conter outros privilégios.

21.1.4. Papéis na IdM

Uma função é uma lista de privilégios que os usuários especificados para a função possuem.
Com efeito, as permissões concedem a capacidade de executar determinadas tarefas de baixo nível (criar uma entrada de usuário, adicionar uma entrada a um grupo, etc.), os privilégios combinam uma ou mais dessas permissões necessárias para uma tarefa de nível superior (como a criação de um novo usuário em um determinado grupo). As funções reúnem os privilégios conforme necessário: por exemplo, uma função de Administrador de Usuário seria capaz de adicionar, modificar e excluir usuários.

Importante

Os papéis são usados para classificar as ações permitidas. Eles não são usados como uma ferramenta para implementar a separação de privilégios ou para proteger contra a escalada de privilégios.

Nota

Os papéis não podem conter outros papéis.

21.1.5. Papéis pré-definidos na Gestão da Identidade

A Red Hat Identity Management oferece a seguinte gama de funções pré-definidas:

Tabela 21.1. Papéis pré-definidos na gestão da identidade

PapelPrivilégioDescrição

Helpdesk

Modificar Usuários e Redefinir senhas, Modificar a adesão ao Grupo

Responsável pela execução de tarefas simples de administração de usuários

Especialista em Segurança de TI

Netgroups Administrators, HBAC Administrator, Sudo Administrator

Responsável pelo gerenciamento da política de segurança, tais como controles de acesso baseados em host, regras sudo

Especialista em TI

Administradores Host, Administradores do Grupo Host, Administradores de Serviços, Administradores Automount

Responsável pelo gerenciamento dos anfitriões

Arquiteto de Segurança

Administrador de Delegação, Administrador de Replicação, Administrador de Configuração IPA, Administrador de Política de Senha

Responsável pela gestão do ambiente de Gerenciamento de Identidade, criando trusts, criando acordos de replicação

Administrador do usuário

Administradores de Usuários, Administradores de Grupo, Administradores de Etapa de Usuários

Responsável pela criação de usuários e grupos