第 19 章 创建角色用户

第 2.6.6.1 节 “默认管理角色” 所述,在安装过程中创建了一个 bootstrap 用户。安装后,创建真实用户并为其分配正确的系统权限。为满足合规性,每个用户都必须仅是一个角色(group)的成员。
本章介绍了如何:
  • 在操作系统中创建证书系统管理用户
  • 在证书系统中创建 PKI 角色

19.1. 在操作系统上创建 PKI 管理用户

本节适用于管理角色用户。代理和审核员角色用户,请参阅 第 19.2 节 “在证书系统中创建 PKI 角色用户”
通常,证书系统中的管理员、代理和审核员可以使用客户端应用程序(如命令行实用程序、Java 控制台和浏览器)远程管理证书系统实例。对于大多数 CS 管理任务,证书系统角色用户不需要登录实例运行的主机。例如,允许审核员角色用户远程检索签名的审计日志进行验证,代理角色用户可以使用代理接口批准证书颁发,而管理员角色用户可以使用命令行实用程序来配置配置集。
然而,在某些情况下,证书系统管理员需要登录主机系统直接修改配置文件,或者启动或停止证书系统实例。因此,在操作系统中,管理员角色用户应该是允许更改配置文件的人员,并读取与 Red Hat Certificate System 相关的各种日志。
注意
不要允许证书系统管理员或审核员以外的任何人访问审计日志文件。
  1. 在操作系统上创建 pkiadmin 组。 
    # groupadd -r pkiadmin
  2. pkiuser 添加到 pkiadmin 组中: 
    # usermod -a -G pkiadmin pkiuser
  3. 在操作系统上创建用户。例如,要创建 jsmith 帐户: 
    # useradd -g pkiadmin -d /home/jsmith -s /bin/bash -c "Red Hat Certificate System Administrator John Smith" -m jsmith
    详情请查看 useradd(8) man page。
  4. 将用户 jsmith 添加到 pkiadmin 组中: 
    # usermod -a -G pkiadmin jsmith
    详情请查看 usermod(8) man page。
    如果您使用 nCipher 硬件安全模块(HSM),请将管理 HSM 设备的用户添加到 nfast 组中: 
    # usermod -a -G nfast pkiuser
# usermod -a -G nfast jsmith
  5. 添加正确的 sudo 规则,以允许 pkiadmin 组到证书系统和其他系统服务。
    为了简单起见,可以配置证书系统和目录服务器进程,以便 PKI 管理员(而不是只有 root)可以启动和停止服务。
    设置子系统时推荐的选项是使用 pkiadmin 系统组。(详细信息为 第 6.9 节 “证书系统用户和组”)。然后,所有将成为证书系统管理员的操作系统用户都会被添加到此组中。如果存在这个 pkiadmin 系统组,则可以授予 sudo 访问权限来执行某些任务。
    1. 编辑 /etc/sudoers 文件;在 Red Hat Enterprise Linux 中,可以使用 visudo 命令完成: 
      # visudo
    2. 根据机器上安装的内容,为目录服务器、管理服务器、PKI 管理工具和每个 PKI 子系统实例添加一行,为 pkiadmin 组授予 sudo 权限: 
      # For Directory Server services
%pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv.target
%pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv-admin.service

# For PKI instance management
%pkiadmin ALL = PASSWD: /usr/sbin/pkispawn *
%pkiadmin ALL = PASSWD: /usr/sbin/pkidestroy *

# For PKI instance services
%pkiadmin ALL = PASSWD: /usr/bin/systemctl * pki-tomcatd@instance_name.service
    重要
    确保为计算机上的每个证书系统、目录服务器和管理服务器设置 sudo 权限,并且仅对 计算机上的这些实例设置 sudo 权限。机器上可能有多个相同子系统类型的实例,或者没有子系统类型的实例。它取决于部署。
  6. 将以下文件中的组设置为 pkiadmin
    # chgrp pkiadmin /etc/pki/instance_name/server.xml
# chgrp -R pkiadmin /etc/pki/instance_name/alias
# chgrp pkiadmin /etc/pki/instance_name/subsystem/CS.cfg
# chgrp pkiadmin /var/log/pki/instance_name/subsystem/debug
在操作系统中创建管理用户后,请遵循 第 19.2 节 “在证书系统中创建 PKI 角色用户”