D.4. キーリカバリー認証局固有の ACL


このセクションでは、KRA 向けに特別に適用されるデフォルトのアクセス制御設定を説明します。KRA ACL 設定には、「共通 ACL」 に記載の共通 ACL がすべて含まれています。
KRA の各インターフェイス (管理コンソール、エージェント、およびエンドエンティティーサービスページ) と、キーのリスト表示やダウンロードなどの一般的な操作に対して、アクセス制御ルールが設定されています。

D.4.1. certServer.job.configuration

KRA のジョブを設定できるユーザーを制御します。
allow (read) group="Administrators" || group="Key Recovery Authority Agents" ||  group="Auditors";allow (modify) group="Administrators"
表D.42 certServer.job.configuration ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 基本的なジョブ設定、ジョブインスタンス設定、ジョブプラグイン設定を表示します。ジョブプラグインおよびジョブインスタンスをリスト表示します。 許可
管理者
エージェント
監査者
modify ジョブプラグインおよびジョブインスタンスを追加および削除します。ジョブプラグインとジョブインスタンスを変更します。 許可 管理者

D.4.2. certServer.kra.certificate.transport

KRA のトランスポート証明書を表示できるユーザーを制御します。
allow (read) user="anybody"
表D.43 certServer.kra.certificate.transport ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read KRA インスタンスのトランスポート証明書を表示します。 許可 全ユーザー

D.4.3. certServer.kra.configuration

KRA の設定を設定および管理するユーザーを制御します。
allow (read) group="Administrators" || group="Auditors" || group="Key Recovery Authority Agents" || allow (modify) group="Administrators"
表D.44 certServer.kra.configuration ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 必要なリカバリーエージェントの承認の数を確認します。 許可
管理者
エージェント
監査者
modify 必要なリカバリーエージェントの承認の数を変更します。 許可 管理者

D.4.4. certServer.kra.connector

KRA に接続するために CA に設定された特別なコネクターで要求を送信できるエンティティーを制御します。デフォルト設定は以下のようになります。
allow (submit) group="Trusted Managers"
表D.45 certServer.kra.connector ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
submit 新しい鍵のアーカイブ要求を送信します (TMS 以外)。 許可 信頼できるマネージャー

D.4.5. certServer.kra.GenerateKeyPair

KRA にキーリカバリー要求を送信できるユーザーを制御します。デフォルト設定は以下のようになります。
allow (execute) group="Key Recovery Authority Agents"
表D.46 certServer.kra.GenerateKeyPair ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
実行 サーバー側のキー生成 (TMS のみ) を実行します。 許可 KRA エージェント

D.4.6. certServer.kra.getTransportCert

KRA にキーリカバリー要求を送信できるユーザーを制御します。デフォルト設定は以下のようになります。
allow (download) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"
表D.47 certServer.kra.getTransportCert ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
download KRA トランスポート証明書を取得します。 許可 エンタープライズ管理者

D.4.7. certServer.kra.group

KRA インスタンスのユーザーおよびグループを追加するために内部データベースへのアクセスを制御します。
allow (modify,read) group="Administrators"
表D.48 certServer.kra.group ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
modify インスタンスのユーザーおよびグループエントリーを作成、編集、削除します。 許可 管理者
read インスタンスのユーザーおよびグループエントリーを表示します。 許可
管理者

D.4.8. certServer.kra.key

鍵の表示、リカバリー、またはダウンロードを使用して鍵情報にアクセスできるユーザーを制御します。デフォルト設定は以下のようになります。
allow (read,recover,download) group="Key Recovery Authority Agents"
表D.49 certServer.kra.key ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 重要なアーカイブ記録に関する公開情報を表示します。 許可 KRA エージェント
recover データベースからキー情報を取得してリカバリー操作を実行します。 許可 KRA エージェント
download エージェントサービスページからキー情報をダウンロードします。 許可 KRA エージェント

D.4.9. certServer.kra.keys

エージェントサービスページからアーカイブされた鍵をリスト表示できるユーザーを制御します。
allow (list) group="Key Recovery Authority Agents"
表D.50 certServer.kra.keys ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
list アーカイブされた鍵の範囲を検索し、リスト表示します。 許可 KRA エージェント

D.4.10. certServer.kra.registerUser

インスタンス用にエージェントユーザーを作成できるグループまたはユーザーを定義します。デフォルト設定は以下のようになります。
allow (modify,read) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"
表D.51 certServer.kra.registerUser ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
modify 新規ユーザーを登録します。 許可 エンタープライズ管理者
read 既存のユーザー情報を読み込みます。 許可 エンタープライズ管理者

D.4.11. certServer.kra.request

エージェントサービスインターフェイスでキーのアーカイブとリカバリー要求を表示できるユーザーを制御します。
allow (read) group="Key Recovery Authority Agents"
表D.52 certServer.kra.request ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 鍵のアーカイブまたはリカバリー要求を表示します。 許可 KRA エージェント

D.4.12. certServer.kra.request.status

エンドエンティティーページでキーリカバリー要求のステータスを表示できるユーザーを制御します。
allow (read) group="Key Recovery Authority Agents"
表D.53 certServer.kra.request.status ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read エージェントサービスページでキーリカバリー要求のステータスを取得します。 許可 KRA エージェント

D.4.13. certServer.kra.requests

エージェントサービスインターフェイスでキーのアーカイブとリカバリー要求をリスト表示できるユーザーを制御します。
allow (list) group="Key Recovery Authority Agents"
表D.54 certServer.kra.requests ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
list キーアーカイブおよびリカバリー要求の範囲の詳細を取得します。 許可 KRA エージェント

D.4.14. certServer.kra.systemstatus

KRA インスタンスの統計を表示できるユーザーを制御します。
allow (read) group="Key Recovery Authority Agents"
表D.55 certServer.kra.systemstatus ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 統計を表示します。 許可 KRA エージェント

D.4.15. certServer.kra.TokenKeyRecovery

トークンのキーリカバリー要求を KRA に送信するユーザーを制御します。これは、失われたトークンを置き換えるための一般的なリクエストです。デフォルト設定は以下のようになります。
allow (submit) group="Key Recovery Authority Agents"
表D.56 certServer.kra.TokenKeyRecovery ACL の概要
操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
submit トークンリカバリーのキーリカバリー要求を送信または開始します。 許可 KRA エージェント
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.