Red Hat Training

A Red Hat training course is available for RHEL 8

第 20 章 IdM 中的访问控制

访问控制定义了授予用户对其他用户或对象(如主机或服务)执行操作的权利或权限。身份管理(IdM)提供了多个访问控制区,以明确授予了哪些类型的访问权限,以及权限被授予给了谁。因此,IdM 会区分了对域中资源的访问控制和对 IdM 配置本身的访问控制。

本章概述了 IdM 用户对域内资源以及对 IdM 配置本身的不同的内部访问控制机制。

20.1. IdM 中的访问控制指令

身份管理(IdM)访问控制结构是基于 389 目录服务器访问控制的。通过使用访问控制指令(ACI),您可以授予或拒绝特定的 IdM 用户对其他条目的访问。所有条目(包括 IdM 用户)都存储在 LDAP 中。

ACI 有三个部分:

行动者
被授予权限可以做某事的实体。在 LDAP 访问控制模型中,您可以指定 ACI 规则只有在用户使用其可区分的名称(DN)绑定到目录时才应用。此类规格称为 绑定规则 :它会定义用户是谁,并可以选择要求对绑定尝试的其他限制,例如将尝试限制在一天的某段时间或某台机器上。
目标
允许行动者对其执行操作的条目。
操作类型
确定行动者可以执行哪种操作。最常见的操作有 add、delete、write、read 和 search。在 IdM 中,非管理员用户的读和搜索权限是有限制的,IdM Web UI 中的限制比 IdM CLI 中的限制更多。

当尝试 LDAP 操作时,会出现以下情况:

  1. IdM 客户端将用户凭证发送到 IdM 服务器,作为绑定 操作的一部分。
  2. IdM 服务器 DS 检查用户凭证。
  3. IdM 服务器 DS 检查用户帐户,以查看用户是否有执行所请求的操作的权限。