Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 28. Gestion des contrôles d'accès basés sur les rôles dans l'IdM à l'aide de la CLI

download PDF

Ce chapitre présente le contrôle d'accès basé sur les rôles dans la gestion des identités (IdM) et décrit les opérations suivantes dans l'interface de ligne de commande (CLI) :

28.1. Contrôle d'accès basé sur les rôles dans l'IdM

Le contrôle d'accès basé sur les rôles (RBAC) dans l'IdM accorde un type d'autorité très différent aux utilisateurs par rapport aux contrôles d'accès en libre-service et par délégation.

Le contrôle d'accès basé sur les rôles se compose de trois parties :

  • Permissions accorder le droit d'effectuer une tâche spécifique telle que l'ajout ou la suppression d'utilisateurs, la modification d'un groupe, l'activation de l'accès en lecture, etc.
  • Privileges combiner les autorisations, par exemple toutes les autorisations nécessaires pour ajouter un nouvel utilisateur.
  • Roles accorder un ensemble de privilèges à des utilisateurs, des groupes d'utilisateurs, des hôtes ou des groupes d'hôtes.

28.1.1. Permissions dans l'IdM

Les autorisations sont l'unité de niveau le plus bas du contrôle d'accès basé sur les rôles. Elles définissent les opérations ainsi que les entrées LDAP auxquelles ces opérations s'appliquent. Comparables à des blocs de construction, les autorisations peuvent être attribuées à autant de privilèges que nécessaire.
Une ou plusieurs adresses rights définissent les opérations autorisées :

  • write
  • read
  • search
  • compare
  • add
  • delete
  • all

Ces opérations s'appliquent à trois sites de base targets:

  • subtree: un nom de domaine (DN) ; la sous-arborescence sous ce DN
  • target filterun filtre LDAP
  • target: DN avec des caractères génériques possibles pour spécifier les entrées

En outre, les options de commodité suivantes définissent le(s) attribut(s) correspondant(s) :

  • type: un type d'objet (utilisateur, groupe, etc.) ; définit subtree et target filter
  • memberof: membres d'un groupe ; fixe un target filter
  • targetgroup: accorde l'accès à la modification d'un groupe spécifique (par exemple en accordant les droits de gérer l'appartenance à un groupe) ; définit une valeur de target

Grâce aux autorisations IdM, vous pouvez contrôler quels utilisateurs ont accès à quels objets et même à quels attributs de ces objets. L'IdM vous permet d'autoriser ou de bloquer des attributs individuels ou de modifier la visibilité totale d'une fonction IdM spécifique, telle que les utilisateurs, les groupes ou sudo, pour tous les utilisateurs anonymes, tous les utilisateurs authentifiés ou seulement un certain groupe d'utilisateurs privilégiés.
Par exemple, la flexibilité de cette approche des autorisations est utile pour un administrateur qui souhaite limiter l'accès des utilisateurs ou des groupes uniquement aux sections spécifiques auxquelles ces utilisateurs ou groupes ont besoin d'accéder et rendre les autres sections complètement cachées pour eux.

Note

Une autorisation ne peut pas contenir d'autres autorisations.

28.1.2. Permissions gérées par défaut

Les autorisations gérées sont des autorisations fournies par défaut avec l'IdM. Elles se comportent comme les autres autorisations créées par l'utilisateur, avec les différences suivantes :

  • Vous ne pouvez pas les supprimer ni modifier leur nom, leur emplacement et leurs attributs cibles.

  • Ils ont trois séries d'attributs :

    • Default l'utilisateur ne peut pas les modifier, car ils sont gérés par IdM
    • Included les attributs, qui sont des attributs supplémentaires ajoutés par l'utilisateur
    • Excluded les attributs, qui sont des attributs supprimés par l'utilisateur

Une autorisation gérée s'applique à tous les attributs qui figurent dans les ensembles d'attributs par défaut et inclus, mais pas dans l'ensemble exclu.

Note

Bien que vous ne puissiez pas supprimer une autorisation gérée, le fait de définir son type de liaison sur autorisation et de supprimer l'autorisation gérée de tous les privilèges la désactive effectivement.

Les noms de toutes les autorisations gérées commencent par System:, par exemple System: Add Sudo rule ou System: Modify Services. Les versions antérieures de l'IdM utilisaient un schéma différent pour les autorisations par défaut. Par exemple, l'utilisateur ne pouvait pas les supprimer et ne pouvait les attribuer qu'à des privilèges. La plupart de ces autorisations par défaut ont été transformées en autorisations gérées, mais les autorisations suivantes utilisent toujours le schéma précédent :

  • Ajouter une tâche de reconstruction de l'adhésion automatique
  • Ajouter des sous-enregistrements de configuration
  • Ajouter des accords de réplication
  • Certificat Supprimer la retenue
  • Obtenir l'état des certificats de l'autorité de certification
  • Plage de lecture de l'ADN
  • Modifier la portée de l'ADN
  • Lire la configuration des gestionnaires PassSync
  • Modifier la configuration des gestionnaires PassSync
  • Lire les accords de réplication
  • Modifier les accords de réplication
  • Supprimer les accords de réplication
  • Lire la configuration de la base de données LDBM
  • Demande de certificat
  • Demande de certificat ignorant les listes de contrôle de l'autorité de certification
  • Demander des certificats à un autre hôte
  • Récupérer des certificats auprès de l'autorité de certification
  • Révoquer le certificat
  • Écriture de la configuration de l'IPA
Note

Si vous tentez de modifier une autorisation gérée à partir de la ligne de commande, le système ne vous permet pas de changer les attributs que vous ne pouvez pas modifier, la commande échoue. Si vous tentez de modifier une autorisation gérée à partir de l'interface Web, les attributs que vous ne pouvez pas modifier sont désactivés.

28.1.3. Privilèges dans l'IdM

Un privilège est un groupe de permissions applicables à un rôle.
Alors qu'une autorisation donne le droit d'effectuer une seule opération, certaines tâches de l'IdM nécessitent plusieurs autorisations pour être menées à bien. Par conséquent, un privilège combine les différentes autorisations requises pour effectuer une tâche spécifique.
Par exemple, la création d'un compte pour un nouvel utilisateur IdM nécessite les autorisations suivantes :

  • Création d'une nouvelle entrée utilisateur
  • Réinitialisation du mot de passe d'un utilisateur
  • Ajout du nouvel utilisateur au groupe d'utilisateurs IPA par défaut

La combinaison de ces trois tâches de bas niveau en une tâche de plus haut niveau sous la forme d'un privilège personnalisé nommé, par exemple, Add User facilite la gestion des rôles par l'administrateur du système. L'IdM contient déjà plusieurs privilèges par défaut. Outre les utilisateurs et les groupes d'utilisateurs, des privilèges sont également attribués aux hôtes et aux groupes d'hôtes, ainsi qu'aux services de réseau. Cette pratique permet un contrôle fin des opérations effectuées par un ensemble d'utilisateurs sur un ensemble d'hôtes utilisant des services de réseau spécifiques.

Note

Un privilège ne peut pas contenir d'autres privilèges.

28.1.4. Rôles dans l'IdM

Un rôle est une liste de privilèges que les utilisateurs spécifiés pour ce rôle possèdent.
En effet, les autorisations permettent d'effectuer certaines tâches de bas niveau (créer une entrée utilisateur, ajouter une entrée à un groupe, etc.), tandis que les privilèges combinent une ou plusieurs de ces autorisations nécessaires à une tâche de plus haut niveau (comme la création d'un nouvel utilisateur dans un groupe donné). Les rôles regroupent les privilèges selon les besoins : par exemple, un administrateur d'utilisateurs peut ajouter, modifier et supprimer des utilisateurs.

Important

Les rôles sont utilisés pour classer les actions autorisées. Ils ne sont pas utilisés comme outil pour mettre en œuvre la séparation des privilèges ou pour se protéger contre l'escalade des privilèges.

Note

Les rôles ne peuvent pas contenir d'autres rôles.

28.1.5. Rôles prédéfinis dans la gestion de l'identité

Red Hat Identity Management fournit la gamme suivante de rôles prédéfinis :

Tableau 28.1. Rôles prédéfinis dans la gestion des identités
RôlePrivilègeDescription

Administrateur des inscriptions

Inscription au programme d'accueil

Responsable de l'inscription du client ou de l'hôte

helpdesk

Modifier les utilisateurs et réinitialiser les mots de passe, Modifier l'appartenance à un groupe

Effectuer des tâches simples d'administration des utilisateurs

Spécialiste de la sécurité informatique

Administrateurs Netgroups, Administrateur HBAC, Administrateur Sudo

Responsable de la gestion de la politique de sécurité telle que les contrôles d'accès basés sur l'hôte, les règles sudo

Spécialiste des technologies de l'information

Administrateurs d'hôtes, administrateurs de groupes d'hôtes, administrateurs de services, administrateurs de montages automatiques

Responsable de la gestion des hôtes

Architecte de sécurité

Administrateur de la délégation, Administrateurs de la réplication, Configuration de l'IPA en écriture, Administrateur de la politique des mots de passe

Responsable de la gestion de l'environnement de gestion des identités, de la création de trusts et d'accords de réplication

Administrateur des utilisateurs

Administrateurs d'utilisateurs, administrateurs de groupes, administrateurs d'utilisateurs de scène

Responsable de la création des utilisateurs et des groupes

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.