第20章 Bootstrap ユーザーの削除
重要
ブートストラップユーザーを削除する前に、19章ロールユーザーの作成 の説明に従って実際の PKI 管理ユーザーを作成します。
ブートストラップユーザーを削除するには、『Red Hat Certificate System 管理ガイド』の『Certificate System ユーザーの削除』セクションで説明されている手順に従います。
20.1. マルチロールサポートの無効化
デフォルトでは、ユーザーは一度に複数のサブシステムグループに属することができ、ユーザーは複数のロールとして機能できます。たとえば、John Smith はエージェントと管理者グループの両方に属する可能性があります。ただし、安全性の高い環境では、サブシステムのロールを制限して、ユーザーが 1 つのロールにしか所属できないようにする必要があります。そのためには、インスタンスの設定で
multirole
属性を無効にします。
すべてのサブシステムの場合:
- サーバーを停止します。
# systemctl stop pki-tomcatd@instance_name.service
または (nuxwdog watchdog
を使用している場合)# systemctl stop pki-tomcatd-nuxwdog@instance_name.service
CS.cfg
ファイルを開きます。vim /var/lib/pki/instance_name/ca/conf/CS.cfg
multiroles.enable
パラメーターの値を true から false に変更します。- マルチロール設定に影響のある Certificate System のデフォルトロールリストを追加または編集します。複数のロールが無効になっており、ユーザーが
multiroles.false.groupEnforceList
パラメーターににリストされているロールの 1 つ に属している場合、ユーザーはリスト内の他のロールのグループに追加することができません。multiroles.false.groupEnforceList
=Administrators,Auditors,Trusted Managers,Certificate Manager Agents,Registration Manager Agents,Key Recovery Authority Agents,Online Certificate Status Manager Agents,Token Key Service Manager Agents,Enterprise CA Administrators,Enterprise KRA Adminstrators,Enterprise OCSP Administrators,Enterprise TKS Administrators,Enterprise TPS Administrators,Security Domain Administrators,Subsystem Group - サービスを再起動します。
# systemctl start pki-tomcatd@instance_name.service
または (nuxwdog watchdog
を使用している場合)# systemctl start pki-tomcatd-nuxwdog@instance_name.service