22.4. ホストベースのアクセス制御ルールのテスト
ホストベースのアクセス制御を効果的に実装することは、すべてのホストが適切に設定され、アクセスをユーザーとサービスに適切に適用する必要があるため、複雑になります。
この hbactest コマンドは、異なるホストベースのアクセス制御シナリオをテストして、ルールが期待どおりに機能するようにできます。
注記
この hbactest コマンドは、信頼された Active Directory ユーザーでは機能しません。Active Directory のユーザー/グループの関連付けは、ユーザーがログインし、これらのデータは IdM LDAP ディレクトリーに保存されないため、動的に決定されます。この場合、hbactest コマンドは、アクセス制御ルールが適用される仕組みをチェックするためにグループメンバーシップを解決できません。
22.4.1. ホストベースのアクセス制御設定の制限
アクセス制御設定は、承認の失敗を防ぐために、実装前に必ずテストする必要があります。
ホストベースのアクセス制御ルールは、ホスト、サービス、DNS ルックアップ、およびユーザー間で多くの対話に依存します。要素の設定が間違っている場合、ルールは予期せぬ挙動で動作します。
Identity Management には、アクセス制御ルールが、定義されたシナリオでアクセスをテストすることで予想される方法で動作していることを検証するテストツールが含まれています。このテストが便利な状況は複数あります。
- 新しいルールは、実装前にテストする必要があります。
- 既存のルールには問題があり、テストツールはどのルールを適切に動作させるかを特定できます。
- 既存のルールのサブセットをテストして、それらの実行内容を確認することができます。