11.4. ユーザーのアクセス制御の設定

アクセス制御リスト (ACL) は、サーバー操作への承認を指定するメカニズムです。承認チェックが実行される操作ごとに ACL が存在します。ACL に追加の操作を追加できます。

ACL には、読み取りや変更などの操作を具体的に許可または拒否する アクセス制御命令 (ACI) が含まれます。ACI にはエバリュエーターの式も含まれます。ACL のデフォルトの実装は、ユーザー、グループ、および IP アドレスのみを、可能なエバリュエータータイプとして指定します。ACL の各 ACI は、アクセスが許可または拒否されるかどうか、特定の Operator が許可または拒否されているか、および操作を実行するためのユーザー、グループ、または IP アドレスが許可または拒否されるかどうかを指定します。

Certificate System ユーザーの特権は、ユーザーがメンバーであるグループ、ユーザー自身、またはユーザーの IP アドレスに関連付けられているアクセス制御リスト (ACL) を変更することによって変更されます。新規グループは、そのグループをアクセス制御リストに追加することで、アクセス制御リストに割り当てられます。たとえば、ログの表示のみが許可されている管理者用の新しいグループ LogAdmins を、ログに関連する ACL に追加して、このグループへの読み取り権限または変更権限を許可することができます。このグループが他の ACL に追加されない場合、このグループのメンバーはログにのみアクセスできます。

ACL の ACI エントリーを編集して、ユーザー、グループ、または IP アドレスへのアクセスが変更されます。ACL インターフェイスでは、各 ACI が独自の行に表示されます。このインターフェイスウィンドウで、ACI の構文は以下のとおりです。

allow|deny (operation) user|group|IP="name"

たとえば、以下は ACI で、管理者は読み取り操作を実行できます。

allow (read) group="Administrators"

ACI には、複数の操作またはアクションを設定できます。操作は、両側にスペースを入れずにコンマで区切ります。以下に例を示します。

allow (read,modify) group="Administrators"

ACI は、2 本の縦線記号 (||) で区切ることにより、複数のグループ、ユーザー、または IP アドレスを、両側にスペースがある状態で指定することができます。以下に例を示します。

allow (read) group="Administrators" || group="Auditors"

管理コンソールは ACI を作成または変更できます。このインターフェイスは、Allow and Deny フィールドで操作を許可するか拒否するか、および Operations フィールドでどの操作を実行できるかを設定し、次にアクセスを許可または拒否するグループ、ユーザー、または IP アドレスを Syntax フィールドにリスト表示します。

ACI は指定されたグループ、ユーザー ID、または IP アドレスの操作を許可または拒否できます。通常、アクセスを拒否するために ACI を作成する必要はありません。ユーザー ID、グループ、または IP アドレスを含む allow ACI がない場合、グループ、ユーザー ID、または IP アドレスへのアクセスは拒否されます。

たとえば、ユーザー JohnB は Administrators グループのメンバーです。ACL には以下の ACL のみがある場合は、allow ACI に一致しないため、JohnB はすべてのアクセスを拒否します。

Allow (read,modify) group="Auditors" || user="BrianC"

通常、deny ステートメントを含める必要はありません。ただし、指定すると便利な場合もあります。たとえば、Administrators グループのメンバーである JohnB が解雇されたとします。ユーザーをすぐに削除できない場合は、JohnB へのアクセスを明示的に拒否する必要があることもあります。また、ユーザー BrianC が管理者であるが、一部のリソースの変更権限を持たない場合も考えられます。Administrators グループはこのリソースにアクセスする必要があるため、はこのユーザーアクセスを拒否する ACI を作成して BrianC のアクセスを明示的に拒否できます。

許可される権限は、ACI が操作の実行を許可または拒否することで ACI が制御する操作です。ACL に設定できるアクションは ACL とサブシステムによって異なります。定義できる 2 つの一般的な操作は、読み取りと変更です。

ACI エディターの構文フィールドは、式にエバリュエーターを設定します。エバリュエーターは、グループ、名前、および IP アドレス (IPv4 アドレスと IPv6 アドレスの両方) を指定できます。これらは、同一 (=) または非同一 (!=) として設定されたエンティティーの名前とともに指定されます。

ACL にグループを追加する構文は group="groupname" です。グループを除外する構文は group!="groupname" で、named グループ以外のグループを許可します。以下に例を示します。

group="Administrators" || group!="Auditors"

アスタリスク (*) などのワイルドカード文字を使用するなど、正規表現を使用してグループを指定することもできます。以下に例を示します。

group="* Managers"

ACL にユーザーを追加する構文は user="userID" です。ユーザーを除外する構文は user!="userID" です。これにより、名前が指定されたユーザー ID 以外のユーザー ID も使用できます。以下に例を示します。

user="BobC" || user!="JaneK"

すべてのユーザーを指定するには、anybody の値を指定します。以下に例を示します。

user="anybody"

正規表現を使用して、アスタリスク (*) などのワイルドカード文字を使用するなど、ユーザー名を指定することもできます。以下に例を示します。

user="*johnson"

ACL に IP アドレスを追加する構文は ipaddress="ipaddress" です。ACL から ID アドレスを除外する構文は ipaddress!="ipaddress" です。IP アドレスは数値を使用して指定します。DNS 値は許可されません。以下に例を示します。

ipaddress="12.33.45.99"
ipaddress!="23.99.09.88"

IP アドレスは、上記のように IPv4 アドレスまたは IPv6 アドレスになります。IPv4 アドレスには、ネットマスクが n.n.n.n または n.n.n.n,m.m.m.m の形式があります。IPv6 アドレスは 128 ビット名前空間を使用します。IPv6 アドレスはコロンで区切られ、ネットマスクはピリオドで区切られます。以下に例を示します。

ipaddress="0:0:0:0:0:0:13.1.68.3"

アスタリスク (*) などのワイルドカード文字を使用するなどして、正規表現を使用して IP アドレスを指定することもできます。以下に例を示します。

ipaddress="12.33.45.*"

各値を 2 つのパイプ文字 (||) で区切り、両側にスペースを入れることで、複数の値を持つ文字列を作成できます。以下に例を示します。

user="BobC" || group="Auditors" || group="Administrators"

CS.cfg ファイルを編集してこの機能を設定する方法については、計画、インストール、デプロイメントのガイド (Common Criteria Edition) の 9.2.3.13 サブシステムのアクセス制御設定の変更 を参照してください。

ACL は内部データベースに保存され、管理コンソールでのみ変更できます。

新しい ACL を追加するには、以下を実行します。