22.3.2. コマンドラインでのホストベースのアクセス制御ルールの設定
アクセス制御ルールは、hbacrule-* コマンド (表22.1「ホストベースのアクセス制御コマンドおよびオプション」) を使用して作成されます。最初のステップでは、コンテナーエントリーを作成します。そこから、ユーザー、ホスト、およびサービスをアクセス制御エントリーに追加できます。
すべてのアクセス制御コマンドの基本的な概要は以下のとおりです。
$ ipa hbacrule-add* options ruleName
ヒント
すべてのユーザーまたはすべてのホストをターゲットとして設定するには、
--usercat=all
などのカテゴリーオプションを使用します。
例22.1 1 つのホストへのすべてのアクセス権限の付与
1 つの単純なルールの 1 つは、すべてのユーザーが 1 台のサーバーへのアクセスを許可することです。最初のコマンドはエントリーを作成し、カテゴリーのオプションを使用して全ユーザーを適用します。
$ ipa hbacrule-add --usercat=all allGroup -------------------------- Added HBAC rule "allGroup" -------------------------- Rule name: allGroup User category: all Enabled: TRUE
2 番目のルールは、hbacrule-add-host コマンドを使用してターゲットホストを追加します。
$ ipa hbacrule-add-host --hosts=server.example.com allGroup Rule name: allGroup User category: all Enabled: TRUE Successful hosts/hostgroups: member host: server.example.com ------------------------- Number of members added 1 -------------------------
例22.2 サービスへの単一ユーザーのコントロールの追加
もう 1 つのアクセス制御方法は、ユーザーがターゲットホストにアクセスできるサービスを指定することです。
まず、すべてのユーザーがすべてのマシンにアクセスできるようにするには、ホストとターゲットの両方としてすべてのホストを追加する必要があります。これは、カテゴリーのオプションを使用して行うことができます。
$ ipa hbacrule-add --hostcat=all sshd-jsmith
アクセス制御ルールは特定のユーザーに適用されるため、hbacrule-add-user コマンドを使用してルールに追加されます。
$ ipa hbacrule-add-user --users=jsmith sshd-jsmith
次に、サービスはアクセス制御ルールに追加されます。(この hbacsvc-add コマンドを使用して、このサービスはすでにアクセス制御システムに追加されているはずです。) これは、ユーザーがマシンへの接続に使用できるサービスです。
$ ipa hbacrule-add-service --hbacsvcs=sshd sshd-jsmith
例22.3 サービスグループのルールへの追加
1 つのサービスをルールに追加できますが、サービスグループ全体を追加することもできます。1 つのサービスと同様に、この hbacrule-add-service コマンドはグループ名を指定する
--hbacsvcgroups
オプションとともにのみ使用されます。
$ ipa hbacrule-add-service --hbacsvcgroups=login loginRule
コマンド | 説明 | 引数 | ソースまたはターゲットエントリー |
---|---|---|---|
hbacrule-add | ホストベースのアクセス制御ルールを新たに追加します。 |
| |
hbacrule-add-host | ターゲットホストをアクセス制御ルールに追加します。ターゲットホストは、ドメイン内 の 他のサーバーおよびユーザーからアクセスできます。 |
| ターゲット |
hbacrule-add-service | ルールにサービスタイプを追加します。 |
| ターゲット |
hbacrule-add-user | アクセス制御ルールにユーザーを追加します。その後、ユーザーはドメイン内の許可されたターゲットホストまたはサービスにアクセスできます。 |
| ソース |
hbacrule-disable | hbacrule-enable | ホストベースのアクセス制御ルールを無効にするか、または有効にします。ルールは、動作を評価する必要がある場合にルールを無効にすることができます (トラブルシューティングまたは新しいルールをテストする場合)。 | RuleName: 無効にまたは有効にするルールです。 |