Chapitre 28. Gestion des contrôles d'accès basés sur les rôles dans l'IdM à l'aide de la CLI
Ce chapitre présente le contrôle d'accès basé sur les rôles dans la gestion des identités (IdM) et décrit les opérations suivantes dans l'interface de ligne de commande (CLI) :
28.1. Contrôle d'accès basé sur les rôles dans l'IdM
Le contrôle d'accès basé sur les rôles (RBAC) dans l'IdM accorde un type d'autorité très différent aux utilisateurs par rapport aux contrôles d'accès en libre-service et par délégation.
Le contrôle d'accès basé sur les rôles se compose de trois parties :
- Permissions accorder le droit d'effectuer une tâche spécifique telle que l'ajout ou la suppression d'utilisateurs, la modification d'un groupe, l'activation de l'accès en lecture, etc.
- Privileges combiner les autorisations, par exemple toutes les autorisations nécessaires pour ajouter un nouvel utilisateur.
- Roles accorder un ensemble de privilèges à des utilisateurs, des groupes d'utilisateurs, des hôtes ou des groupes d'hôtes.
28.1.1. Permissions dans l'IdM
Les autorisations sont l'unité de niveau le plus bas du contrôle d'accès basé sur les rôles. Elles définissent les opérations ainsi que les entrées LDAP auxquelles ces opérations s'appliquent. Comparables à des blocs de construction, les autorisations peuvent être attribuées à autant de privilèges que nécessaire.
Une ou plusieurs adresses rights définissent les opérations autorisées :
-
write
-
read
-
search
-
compare
-
add
-
delete
-
all
Ces opérations s'appliquent à trois sites de base targets:
-
subtree
: un nom de domaine (DN) ; la sous-arborescence sous ce DN -
target filter
un filtre LDAP -
target
: DN avec des caractères génériques possibles pour spécifier les entrées
En outre, les options de commodité suivantes définissent le(s) attribut(s) correspondant(s) :
-
type
: un type d'objet (utilisateur, groupe, etc.) ; définitsubtree
ettarget filter
-
memberof
: membres d'un groupe ; fixe untarget filter
-
targetgroup
: accorde l'accès à la modification d'un groupe spécifique (par exemple en accordant les droits de gérer l'appartenance à un groupe) ; définit une valeur detarget
Grâce aux autorisations IdM, vous pouvez contrôler quels utilisateurs ont accès à quels objets et même à quels attributs de ces objets. L'IdM vous permet d'autoriser ou de bloquer des attributs individuels ou de modifier la visibilité totale d'une fonction IdM spécifique, telle que les utilisateurs, les groupes ou sudo, pour tous les utilisateurs anonymes, tous les utilisateurs authentifiés ou seulement un certain groupe d'utilisateurs privilégiés.
Par exemple, la flexibilité de cette approche des autorisations est utile pour un administrateur qui souhaite limiter l'accès des utilisateurs ou des groupes uniquement aux sections spécifiques auxquelles ces utilisateurs ou groupes ont besoin d'accéder et rendre les autres sections complètement cachées pour eux.
Une autorisation ne peut pas contenir d'autres autorisations.
28.1.2. Permissions gérées par défaut
Les autorisations gérées sont des autorisations fournies par défaut avec l'IdM. Elles se comportent comme les autres autorisations créées par l'utilisateur, avec les différences suivantes :
- Vous ne pouvez pas les supprimer ni modifier leur nom, leur emplacement et leurs attributs cibles.
Ils ont trois séries d'attributs :
- Default l'utilisateur ne peut pas les modifier, car ils sont gérés par IdM
- Included les attributs, qui sont des attributs supplémentaires ajoutés par l'utilisateur
- Excluded les attributs, qui sont des attributs supprimés par l'utilisateur
Une autorisation gérée s'applique à tous les attributs qui figurent dans les ensembles d'attributs par défaut et inclus, mais pas dans l'ensemble exclu.
Bien que vous ne puissiez pas supprimer une autorisation gérée, le fait de définir son type de liaison sur autorisation et de supprimer l'autorisation gérée de tous les privilèges la désactive effectivement.
Les noms de toutes les autorisations gérées commencent par System:
, par exemple System: Add Sudo rule
ou System: Modify Services
. Les versions antérieures de l'IdM utilisaient un schéma différent pour les autorisations par défaut. Par exemple, l'utilisateur ne pouvait pas les supprimer et ne pouvait les attribuer qu'à des privilèges. La plupart de ces autorisations par défaut ont été transformées en autorisations gérées, mais les autorisations suivantes utilisent toujours le schéma précédent :
- Ajouter une tâche de reconstruction de l'adhésion automatique
- Ajouter des sous-enregistrements de configuration
- Ajouter des accords de réplication
- Certificat Supprimer la retenue
- Obtenir l'état des certificats de l'autorité de certification
- Plage de lecture de l'ADN
- Modifier la portée de l'ADN
- Lire la configuration des gestionnaires PassSync
- Modifier la configuration des gestionnaires PassSync
- Lire les accords de réplication
- Modifier les accords de réplication
- Supprimer les accords de réplication
- Lire la configuration de la base de données LDBM
- Demande de certificat
- Demande de certificat ignorant les listes de contrôle de l'autorité de certification
- Demander des certificats à un autre hôte
- Récupérer des certificats auprès de l'autorité de certification
- Révoquer le certificat
- Écriture de la configuration de l'IPA
Si vous tentez de modifier une autorisation gérée à partir de la ligne de commande, le système ne vous permet pas de changer les attributs que vous ne pouvez pas modifier, la commande échoue. Si vous tentez de modifier une autorisation gérée à partir de l'interface Web, les attributs que vous ne pouvez pas modifier sont désactivés.
28.1.3. Privilèges dans l'IdM
Un privilège est un groupe de permissions applicables à un rôle.
Alors qu'une autorisation donne le droit d'effectuer une seule opération, certaines tâches de l'IdM nécessitent plusieurs autorisations pour être menées à bien. Par conséquent, un privilège combine les différentes autorisations requises pour effectuer une tâche spécifique.
Par exemple, la création d'un compte pour un nouvel utilisateur IdM nécessite les autorisations suivantes :
- Création d'une nouvelle entrée utilisateur
- Réinitialisation du mot de passe d'un utilisateur
- Ajout du nouvel utilisateur au groupe d'utilisateurs IPA par défaut
La combinaison de ces trois tâches de bas niveau en une tâche de plus haut niveau sous la forme d'un privilège personnalisé nommé, par exemple, Add User facilite la gestion des rôles par l'administrateur du système. L'IdM contient déjà plusieurs privilèges par défaut. Outre les utilisateurs et les groupes d'utilisateurs, des privilèges sont également attribués aux hôtes et aux groupes d'hôtes, ainsi qu'aux services de réseau. Cette pratique permet un contrôle fin des opérations effectuées par un ensemble d'utilisateurs sur un ensemble d'hôtes utilisant des services de réseau spécifiques.
Un privilège ne peut pas contenir d'autres privilèges.
28.1.4. Rôles dans l'IdM
Un rôle est une liste de privilèges que les utilisateurs spécifiés pour ce rôle possèdent.
En effet, les autorisations permettent d'effectuer certaines tâches de bas niveau (créer une entrée utilisateur, ajouter une entrée à un groupe, etc.), tandis que les privilèges combinent une ou plusieurs de ces autorisations nécessaires à une tâche de plus haut niveau (comme la création d'un nouvel utilisateur dans un groupe donné). Les rôles regroupent les privilèges selon les besoins : par exemple, un administrateur d'utilisateurs peut ajouter, modifier et supprimer des utilisateurs.
Les rôles sont utilisés pour classer les actions autorisées. Ils ne sont pas utilisés comme outil pour mettre en œuvre la séparation des privilèges ou pour se protéger contre l'escalade des privilèges.
Les rôles ne peuvent pas contenir d'autres rôles.
28.1.5. Rôles prédéfinis dans la gestion de l'identité
Red Hat Identity Management fournit la gamme suivante de rôles prédéfinis :
Rôle | Privilège | Description |
---|---|---|
Administrateur des inscriptions | Inscription au programme d'accueil | Responsable de l'inscription du client ou de l'hôte |
helpdesk | Modifier les utilisateurs et réinitialiser les mots de passe, Modifier l'appartenance à un groupe | Effectuer des tâches simples d'administration des utilisateurs |
Spécialiste de la sécurité informatique | Administrateurs Netgroups, Administrateur HBAC, Administrateur Sudo | Responsable de la gestion de la politique de sécurité telle que les contrôles d'accès basés sur l'hôte, les règles sudo |
Spécialiste des technologies de l'information | Administrateurs d'hôtes, administrateurs de groupes d'hôtes, administrateurs de services, administrateurs de montages automatiques | Responsable de la gestion des hôtes |
Architecte de sécurité | Administrateur de la délégation, Administrateurs de la réplication, Configuration de l'IPA en écriture, Administrateur de la politique des mots de passe | Responsable de la gestion de l'environnement de gestion des identités, de la création de trusts et d'accords de réplication |
Administrateur des utilisateurs | Administrateurs d'utilisateurs, administrateurs de groupes, administrateurs d'utilisateurs de scène | Responsable de la création des utilisateurs et des groupes |