第 19 章 创建角色用户
如 第 2.6.6.1 节 “默认管理角色” 所述,在安装过程中创建了一个 bootstrap 用户。安装后,创建真实用户并为其分配正确的系统权限。为满足合规性,每个用户都必须仅是一个角色(group)的成员。
本章介绍了如何:
- 在操作系统中创建证书系统管理用户
- 在证书系统中创建 PKI 角色
19.1. 在操作系统上创建 PKI 管理用户
本节适用于管理角色用户。代理和审核员角色用户,请参阅 第 19.2 节 “在证书系统中创建 PKI 角色用户”。
通常,证书系统中的管理员、代理和审核员可以使用客户端应用程序(如命令行实用程序、Java 控制台和浏览器)远程管理证书系统实例。对于大多数 CS 管理任务,证书系统角色用户不需要登录实例运行的主机。例如,允许审核员角色用户远程检索签名的审计日志进行验证,代理角色用户可以使用代理接口批准证书颁发,而管理员角色用户可以使用命令行实用程序来配置配置集。
然而,在某些情况下,证书系统管理员需要登录主机系统直接修改配置文件,或者启动或停止证书系统实例。因此,在操作系统中,管理员角色用户应该是允许更改配置文件的人员,并读取与 Red Hat Certificate System 相关的各种日志。
注意
不要允许证书系统管理员或审核员以外的任何人访问审计日志文件。
- 在操作系统上创建
pkiadmin
组。# groupadd -r pkiadmin
- 将
pkiuser
添加到pkiadmin
组中:# usermod -a -G pkiadmin pkiuser
- 在操作系统上创建用户。例如,要创建
jsmith
帐户:# useradd -g pkiadmin -d /home/jsmith -s /bin/bash -c "Red Hat Certificate System Administrator John Smith" -m jsmith
详情请查看 useradd(8) man page。 - 将用户
jsmith
添加到pkiadmin
组中:# usermod -a -G pkiadmin jsmith
详情请查看 usermod(8) man page。如果您使用 nCipher 硬件安全模块(HSM),请将管理 HSM 设备的用户添加到nfast
组中:# usermod -a -G nfast pkiuser # usermod -a -G nfast jsmith
- 添加正确的
sudo
规则,以允许pkiadmin
组到证书系统和其他系统服务。为了简单起见,可以配置证书系统和目录服务器进程,以便 PKI 管理员(而不是只有 root)可以启动和停止服务。设置子系统时推荐的选项是使用pkiadmin
系统组。(详细信息为 第 6.9 节 “证书系统用户和组”)。然后,所有将成为证书系统管理员的操作系统用户都会被添加到此组中。如果存在这个pkiadmin
系统组,则可以授予 sudo 访问权限来执行某些任务。- 编辑
/etc/sudoers
文件;在 Red Hat Enterprise Linux 中,可以使用 visudo 命令完成:# visudo
- 根据机器上安装的内容,为目录服务器、管理服务器、PKI 管理工具和每个 PKI 子系统实例添加一行,为 pkiadmin 组授予 sudo 权限:
# For Directory Server services %pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv.target %pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv-admin.service # For PKI instance management %pkiadmin ALL = PASSWD: /usr/sbin/pkispawn * %pkiadmin ALL = PASSWD: /usr/sbin/pkidestroy * # For PKI instance services %pkiadmin ALL = PASSWD: /usr/bin/systemctl * pki-tomcatd@instance_name.service
重要确保为计算机上的每个证书系统、目录服务器和管理服务器设置 sudo 权限,并且仅对 计算机上的这些实例设置 sudo 权限。机器上可能有多个相同子系统类型的实例,或者没有子系统类型的实例。它取决于部署。 - 将以下文件中的组设置为
pkiadmin
:# chgrp pkiadmin /etc/pki/instance_name/server.xml # chgrp -R pkiadmin /etc/pki/instance_name/alias # chgrp pkiadmin /etc/pki/instance_name/subsystem/CS.cfg # chgrp pkiadmin /var/log/pki/instance_name/subsystem/debug
在操作系统中创建管理用户后,请遵循 第 19.2 节 “在证书系统中创建 PKI 角色用户”。