22.2. サービスおよびサービスグループのホストベースのアクセス制御エントリーの作成
PAM サービスは、IdM のホストベースのアクセス制御 (HBAC) システムと識別できます。ホストベースのアクセス制御で使用されるサービスエントリーは、IdM ドメインへのサービスの追加とは異なります。サービスをドメインに追加すると、他のリソースが利用できる認識リソースになります。ホストベースのアクセス制御設定にドメインリソースを追加すると、管理者はドメインユーザーと、そのサービスにアクセスできるドメインクライアントの制御を適切に制御できます。
一部の共通サービスは HBAC サービスとして設定されているため、ホストベースのアクセス制御ルールで使用できます。さらにサービスを追加でき、管理を簡素化するためにサービスグループに追加することができます。
22.2.1. HBAC サービスの追加
22.2.1.1. Web UI での HBAC サービスの追加
- Policy タブをクリックします。
- Host-Based Access Control サブタブをクリックし、HBAC Services のリンクを選択します。
- サービス一覧の上部にある Add リンクをクリックします。
- サービス名と説明を入力します。
- Add ボタンをクリックして新規サービスを保存します。
- サービスグループが存在する場合は、「Web UI でのサービスグループの追加」の説明に従って、サービスを必要なグループに追加します。
22.2.1.2. コマンドラインでサービスの追加
このサービスは、hbacsvc-add コマンドを使用してアクセス制御システムに追加され、サービスを評価するのに PAM が使用する名前でサービスを指定します。
たとえば、これにより
tftp
サービスが追加されます。
# ipa hbacsvc-add --desc="TFTP service" tftp ------------------------- Added HBAC service "tftp" ------------------------- Service name: tftp Description: TFTP service
サービスグループが存在する場合は、「コマンドラインでサービスグループの追加」にあるように hbacsvcgroup-add-member コマンドを使用してサービスをグループに追加できます。