20.3. Création d'ACL pour l'authentification du serveur web et du client
Les règles de la liste de contrôle d'accès de l'autorité de certification (CA ACL) définissent quels profils peuvent être utilisés pour délivrer des certificats à quels utilisateurs, services ou hôtes. En associant des profils, des mandants et des groupes, les CA ACL permettent à des mandants ou à des groupes de demander des certificats à l'aide de profils particuliers.
Par exemple, à l'aide d'ACL, l'administrateur peut restreindre l'utilisation d'un profil destiné aux employés travaillant dans un bureau situé à Londres aux seuls utilisateurs membres du groupe lié au bureau de Londres.
20.3.1. Affichage des listes de contrôle d'accès aux CA dans l'interface de gestion de l'IdM
Remplissez cette section pour afficher la liste des listes de contrôle d'accès des autorités de certification (CA ACL) disponibles dans votre déploiement IdM et les détails d'une CA ACL spécifique.
Procédure
Pour afficher toutes les ACL de votre environnement IdM, entrez la commande
ipa caacl-find
:$ ipa caacl-find ----------------- 1 CA ACL matched ----------------- ACL name: hosts_services_caIPAserviceCert Enabled: TRUE
Pour afficher les détails d'une CA ACL, entrez la commande
ipa caacl-show
et indiquez le nom de la CA ACL. Par exemple, pour afficher les détails de la CA ACL hosts_services_caIPAserviceCert, entrez :$ ipa caacl-show hosts_services_caIPAserviceCert ACL name: hosts_services_caIPAserviceCert Enabled: TRUE Host category: all Service category: all CAs: ipa Profiles: caIPAserviceCert Users: admin
20.3.2. Création d'une liste CA ACL pour les serveurs web s'authentifiant auprès des clients web à l'aide de certificats émis par webserver-ca
Cette section explique comment créer une CA ACL qui oblige l'administrateur système à utiliser la sous-CA webserver-ca et le profil caIPAserviceCert lorsqu'il demande un certificat pour le service HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM. Si l'utilisateur demande un certificat à partir d'un sous-CA différent ou d'un profil différent, la demande échoue. La seule exception est l'activation d'une autre CA ACL correspondante. Pour afficher les CA ACL disponibles, voir Affichage des CA ACL dans IdM CLI.
Conditions préalables
- Assurez-vous que le service HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM fait partie de l'IdM.
- Assurez-vous d'avoir obtenu les informations d'identification de l'administrateur de l'IdM.
Procédure
Créez une CAL à l'aide de la commande
ipa caacl
et indiquez son nom :$ ipa caacl-add TLS_web_server_authentication -------------------------------------------- Added CA ACL "TLS_web_server_authentication" -------------------------------------------- ACL name: TLS_web_server_authentication Enabled: TRUE
Modifiez la CA ACL en utilisant la commande
ipa caacl-mod
pour spécifier la description de la CA ACL :$ ipa caacl-mod TLS_web_server_authentication --desc="CAACL for web servers authenticating to web clients using certificates issued by webserver-ca" ----------------------------------------------- Modified CA ACL "TLS_web_server_authentication" ----------------------------------------------- ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE
Ajoutez la sous-CA webserver-ca à la CA ACL :
$ ipa caacl-add-ca TLS_web_server_authentication --ca=webserver-ca ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca ------------------------- Number of members added 1 -------------------------
Utilisez l'adresse
ipa caacl-add-service
pour spécifier le service dont le principal pourra demander un certificat :$ ipa caacl-add-service TLS_web_server_authentication --service=HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Services: HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM ------------------------- Number of members added 1 -------------------------
Utilisez la commande
ipa caacl-add-profile
pour spécifier le profil de certificat pour le certificat demandé :$ ipa caacl-add-profile TLS_web_server_authentication --certprofiles=caIPAserviceCert ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Profiles: caIPAserviceCert Services: HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM ------------------------- Number of members added 1 -------------------------
Vous pouvez utiliser immédiatement l'ACL CA nouvellement créée. Elle est activée par défaut après sa création.
L'objectif des listes de contrôle d'accès est de spécifier les combinaisons d'autorités de certification et de profils autorisées pour les demandes émanant de mandants ou de groupes particuliers. Les CA ACL n'affectent pas la validation ou la confiance dans les certificats. Elles n'affectent pas la manière dont les certificats émis seront utilisés.
20.3.3. Création d'un CA ACL pour les navigateurs web des utilisateurs s'authentifiant auprès des serveurs web à l'aide de certificats émis par webclient-ca
Cette section explique comment créer une CA ACL qui oblige l'administrateur système à utiliser la sous-CA webclient-ca et le profil IECUserRoles lorsqu'il demande un certificat. Si l'utilisateur demande un certificat à partir d'un sous-CA différent ou d'un profil différent, la demande échoue. La seule exception est l'activation d'une autre CA ACL correspondante. Pour afficher les CA ACL disponibles, voir Affichage des CA ACL dans IdM CLI.
Conditions préalables
- Assurez-vous d'avoir obtenu les informations d'identification de l'administrateur IdM.
Procédure
Créez une CAL à l'aide de la commande
ipa caacl
et spécifiez son nom :$ ipa caacl-add TLS_web_client_authentication -------------------------------------------- Added CA ACL "TLS_web_client_authentication" -------------------------------------------- ACL name: TLS_web_client_authentication Enabled: TRUE
Modifiez la CA ACL en utilisant la commande
ipa caacl-mod
pour spécifier la description de la CA ACL :$ ipa caacl-mod TLS_web_client_authentication --desc="CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca" ----------------------------------------------- Modified CA ACL "TLS_web_client_authentication" ----------------------------------------------- ACL name: TLS_web_client_authentication Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca Enabled: TRUE
Ajoutez la sous-CA webclient-ca à la CA ACL :
$ ipa caacl-add-ca TLS_web_client_authentication --ca=webclient-ca ACL name: TLS_web_client_authentication Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca Enabled: TRUE CAs: webclient-ca ------------------------- Number of members added 1 -------------------------
Utilisez la commande
ipa caacl-add-profile
pour spécifier le profil de certificat pour le certificat demandé :$ ipa caacl-add-profile TLS_web_client_authentication --certprofiles=IECUserRoles ACL name: TLS_web_client_authentication Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca Enabled: TRUE CAs: webclient-ca Profiles: IECUserRoles ------------------------- Number of members added 1 -------------------------
Modifiez l'ACL CA à l'aide de la commande
ipa caacl-mod
pour spécifier que l'ACL CA s'applique à tous les utilisateurs IdM :$ ipa caacl-mod TLS_web_client_authentication --usercat=all ----------------------------------------------- Modified CA ACL "TLS_web_client_authentication" ----------------------------------------------- ACL name: TLS_web_client_authentication Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca Enabled: TRUE User category: all CAs: webclient-ca Profiles: IECUserRoles
Vous pouvez utiliser immédiatement l'ACL CA nouvellement créée. Elle est activée par défaut après sa création.
L'objectif des listes de contrôle d'accès est de spécifier les combinaisons d'autorités de certification et de profils autorisées pour les demandes émanant de mandants ou de groupes particuliers. Les CA ACL n'affectent pas la validation ou la confiance dans les certificats. Elles n'affectent pas la manière dont les certificats émis seront utilisés.