27.4. ロールベースのアクセス制御の定義
ロールベースのアクセス制御では、セルフサービスおよび委任アクセス制御の場合とは非常に異なる種類の権限をユーザーに付与します。ロールベースのアクセス制御は基本的に管理されています。エントリーの追加や削除および大幅な変更の可能性があります。
ロールベースのアクセス制御には、以下の 3 つの部分があります。
- パーミッション。パーミッションは、(読み取り、書き込み、追加、または削除) 特定の操作と、これらの操作が適用される ldM LDAP ディレクトリー内のターゲットエントリーを定義します。パーミッションはビルディングブロックで、必要に応じて複数の特権に割り当てることができます。
- ロールで利用可能な 特権。特権は基本的にパーミッションのグループです。パーミッションはロールに直接適用されません。権限が特権に追加され、特権によってアクセス制御ルールのセットの一貫性と完全な情報が作成されます。例えば、パーミッションは自動マウントの場所の追加、編集、削除を行うために作成できます。そして、そのパーミッションは FTP サーバーの管理に関連する別のパーミッションと組み合わせることができます。これらは、ファイルシステムの管理に関連する単一の特権を作成するために作成できます。
- ロール。これは、特権に定義されているアクションを実行できる IdM ユーザーの一覧です。
完全に新しいパーミッションを作成したり、既存または新規のパーミッションをベースにして新たな権限を作成したりすることができます。
27.4.1. ロールの作成
27.4.1.1. Web UI でのロールの作成
- トップメニューで IPA Server タブを開き、Role Based Access Control サブタブを選択します。
- ロールベースの ACI 一覧の上部にある Add リンクをクリックします。
- ロール名と説明を入力します。
- Users タブの上部で、グループ追加の場合は Users Groups タブで、Add リンクをクリックします。
- 左側のユーザーを選択し、ボタンを使用して、割り当てられたボックスに移動します。
- ロール設定ページで Privileges タブを開きます。
- 特権一覧の上部にある Add リンクをクリックして、新しい権限を追加します。
- 左側の権限を選択し、ボタンを使用して割り当てられたボックスに移動します。
27.4.1.2. コマンドライン でのロールの作成
- 新規ロールを追加します。
[root@server ~]# kinit admin [root@server ~]# ipa role-add --desc="User Administrator" useradmin ------------------------ Added role "useradmin" ------------------------ Role name: useradmin Description: User Administrator
- 必要な権限をロールに追加します。
[root@server ~]# ipa role-add-privilege --privileges="User Administrators" useradmin Role name: useradmin Description: User Administrator Privileges: user administrators ---------------------------- Number of privileges added 1 ----------------------------
- 必要なグループをロールに追加します。この場合、すでに存在する 1 つのグループ
useradmin
のみを追加することになります。[root@server ~]# ipa role-add-member --groups=useradmins useradmin Role name: useradmin Description: User Administrator Member groups: useradmins Privileges: user administrators ------------------------- Number of members added 1 -------------------------