Red Hat SummitD.3. Certificate Manager 固有の ACL
このセクションでは、Certificate Manager 用に特別に設定されたデフォルトのアクセス制御設定属性を説明します。CA ACL 設定には、「共通 ACL」 に記載の共通 ACL がすべて含まれています。
CA の各インターフェイス (管理コンソール、エージェント、およびエンドエンティティーサービスページ) と、証明書のリスト表示やダウンロードなどの一般的な操作に対して、アクセス制御ルールが設定されています。
D.3.1. certServer.admin.ocsp
Certificate Manager の OCSP 設定へのアクセスを、エンタープライズ OCSP 管理者グループのメンバーに制限します。
allow (modify,read) group="Enterprise OCSP Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| modify | OCSP 設定、OCSP ストア設定、およびデフォルトの OCSP ストアを変更します。 | 許可 | エンタープライズ OCSP 管理者 |
| read | OCSP 設定を読み取ります。 | 許可 | エンタープライズ OCSP 管理者 |
D.3.2. certServer.ca.certificate
証明書のインポートや取り消しなど、エージェントサービスインターフェイスでの証明書の基本的な管理操作を制御します。デフォルト設定は以下のようになります。
allow (import,unrevoke,revoke,read) group="Certificate Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| import | シリアル番号で証明書を取得します。 | 許可 | Certificate Manager Agent |
| unrevoke | 証明書のステータスを失効から変更します。 | 許可 | Certificate Manager Agent |
| revoke | 証明書のステータスを失効に変更します。 | 許可 | Certificate Manager Agent |
| read | リクエスト ID に基づいて証明書を取得し、リクエスト ID またはシリアル番号に基づいて証明書の詳細を表示します。 | 許可 | Certificate Manager Agent |
D.3.3. certServer.ca.certificates
エージェントサービスインターフェイスを介して証明書のリスト表示または取り消しを行う操作を制御します。デフォルト設定は以下のようになります。
allow (revoke,list) group="Certificate Manager Agents"|| group="Registration Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| revoke | 証明書を取り消すか、または証明書失効リスト要求を承認します。TPS から証明書を取り消します。失効要求に関する追加データのプロンプトを表示します。 | 許可 |
|
| list | 検索に基づいて証明書をリスト表示します。シリアル番号の範囲に基づいて証明書の範囲の詳細を取得します。 | 許可 |
|
D.3.4. certServer.ca.configuration
Certificate Manager の一般的な設定での操作を制御します。デフォルト設定は以下のようになります。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | CRL プラグイン情報、一般的な CA 設定、CA コネクター設定、CRL 発行ポイント設定、CRL プロファイル設定、要求通知設定、失効通知設定、キュー内要求通知設定、および CRL 拡張設定を表示します。CRL 拡張設定および CRL 発行ポイント設定をリスト表示します。 | 許可 |
|
| modify | CRL 発行ポイントを追加し、削除します。一般的な CA 設定、CA コネクター設定、CRL 発行ポイント設定、CRL 設定、要求通知設定、失効通知設定、キュー内要求通知設定、および CRL 拡張設定を変更します。 | 許可 | 管理者 |
D.3.5. certServer.ca.connector
特別なコネクターを CA に送信する操作を制御します。デフォルト設定は以下のようになります。
allow (submit) group="Trusted Managers"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| submit | リモート信頼できるマネージャーからのリクエストを送信します。 | 許可 | 信頼できるマネージャー |
D.3.6. certServer.ca.connectorInfo
コネクター情報へのアクセスを制御して、CA と KRA と間の信頼できる関係を管理します。これらの信頼関係は、CA と KRA が自動的に接続して、主要なアーカイブおよび復元操作を実行できるようにする特別な設定です。これらの信頼関係は、特別なコネクタープラグインを使用して設定されます。
allow (read) group="Enterprise KRA Administrators";allow (modify) group="Enterprise KRA Administrators" || group="Subsystem Group"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | コネクタープラグインの設定を読み取ります。 | Allow | エンタープライズ KRA 管理者 |
| modify | コネクタープラグインの設定を変更します。 | Allow |
|
D.3.7. certServer.ca.crl
エージェントサービスインターフェイスを介して CRL の読み取りまたは更新へのアクセスを制御します。デフォルト設定は次のとおりです。
allow (read,update) group="Certificate Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | CRL を表示し、CA CRL 処理に関する詳細情報を取得します。 | 許可 | Certificate Manager Agent |
| update | CRL を更新します。 | 許可 | Certificate Manager Agent |
D.3.8. certServer.ca.directory
証明書および CRL の公開に使用される LDAP ディレクトリーへのアクセスを制御します。
allow (update) group="Certificate Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| update | CA 証明書、CRL、およびユーザー証明書を LDAP ディレクトリーに公開します。 | 許可 | Certificate Manager Agent |
D.3.9. certServer.ca.group
Certificate Manager インスタンスのユーザーおよびグループを追加するために内部データベースへのアクセスを制御します。
allow (modify,read) group="Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| modify | インスタンスのユーザーおよびグループエントリーを作成、編集、削除します。属性内でユーザー証明書の追加または変更 | 許可 | 管理者 |
| read | インスタンスのユーザーおよびグループエントリーを表示します。 | 許可 | 管理者 |
D.3.10. certServer.ca.ocsp
エージェントサービスインターフェイスを介して、使用統計などの OCSP 情報にアクセスして読み取る機能を制御します。
allow (read) group="Certificate Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | OCSP 使用状況の統計を取得します。 | 許可 | Certificate Manager Agent |
D.3.11. certServer.ca.profile
エージェントサービスページで証明書プロファイル設定へのアクセスを制御します。
allow (read,approve) group="Certificate Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | 証明書プロファイルの詳細を表示します。 | 許可 | Certificate Manager Agent |
| approve | 証明書プロファイルを承認し、有効にします。 | 許可 | Certificate Manager Agent |
D.3.12. certServer.ca.profiles
エージェントサービスインターフェイスで証明書プロファイルをリスト表示するアクセスを制御します。
allow (list) group="Certificate Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| list | 証明書プロファイルのリスト表示。 | 許可 | Certificate Manager Agent |
D.3.13. certServer.ca.registerUser
インスタンス用にエージェントユーザーを作成できるグループまたはユーザーを定義します。デフォルト設定は以下のようになります。
allow (modify,read) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| modify | 新しいエージェントを登録します。 | 許可 | エンタープライズ管理者 |
| read | 既存のエージェント情報を読み取ります。 | 許可 | エンタープライズ管理者 |
D.3.14. certServer.ca.request.enrollment
登録リクエストの処理方法および割り当て方法を制御します。デフォルト設定は次のとおりです。
allow (submit) user="anybody";allow (read,execute,assign,unassign) group="Certificate Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | 登録リクエストを表示します。 | 許可 | Certificate Manager Agent |
| execute | リクエストの承認状態を変更します。 | 許可 | Certificate Manager Agent |
| submit | リクエストを送信します。 | 許可 | Anybody |
| assign | Certificate Manager エージェントに要求を割り当てます。 | 許可 | Certificate Manager Agent |
| unassign | 要求の割り当てを変更します。 | 許可 | Certificate Manager Agent |
D.3.15. certServer.ca.request.profile
証明書プロファイルベースの要求の処理を制御します。デフォルト設定は次のとおりです。
allow (approve,read) group="Certificate Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| approve | 証明書プロファイルベースの証明書要求の承認状態を変更します。 | 許可 | Certificate Manager Agent |
| read | 証明書プロファイルベースの証明書要求を表示します。 | 許可 | Certificate Manager Agent |
D.3.16. certServer.ca.requests
エージェントサービスインターフェイスで証明書要求をリスト表示できるユーザーを制御します。
allow (list) group="Certificate Manager Agents"|| group="Registration Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| list | 要求の範囲の詳細を取得し、複雑なフィルターを使用して証明書を検索します。 | 許可 |
|
D.3.17. certServer.ca.systemstatus
Certificate Manager インスタンスの統計を表示できるユーザーを制御します。
allow (read) group="Certificate Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | 統計を表示します。 | 許可 | Certificate Manager Agent |
D.3.18. certServer.ee.certchain
エンドエンティティーの CA 証明書チェーンにアクセスできるユーザーを制御します。
allow (download,read) user="anybody"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| ダウンロード | CA の証明書チェーンをダウンロードします。 | Allow | 全ユーザー |
| read | CA の証明書チェーンを表示します。 | Allow | 全ユーザー |
D.3.19. certServer.ee.certificate
エンドエンティティーページを介して、証明書のインポートや取り消しなどのほとんどの操作で、証明書にアクセスできるユーザーを制御します。
allow (renew,revoke,read,import) user="anybody"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| renew | 既存の証明書を更新する要求を送信します。 | 許可 | 全ユーザー |
| revoke | ユーザー証明書の失効要求を送信します。 | 許可 | 全ユーザー |
| read | 証明書のシリアル番号または要求 ID に基づいて証明書を取得して表示します。 | 許可 | 全ユーザー |
| import | シリアル番号に基づいて証明書をインポートします。 | 許可 | 全ユーザー |
D.3.20. certServer.ee.certificates
失効した証明書をリスト表示したり、エンドエンティティーに失効リクエストを送信できるユーザーを制御します。
allow (revoke,list) user="anybody"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| revoke | 取り消しする証明書のリストを送信します。 | 許可 | 取り消される証明書の対象は、CA に認証するために提示された証明書と一致させる必要があります。 |
| list | 指定の基準に一致する証明書を検索します。 | 許可 | 全ユーザー |
D.3.21. certServer.ee.crl
エンドエンティティーページから CRL へのアクセスを制御します。
allow (read,add) user="anybody"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | 証明書失効リストを取得および表示します。 | 許可 | 全ユーザー |
| add | CRL を OCSP サーバーに追加します。 | 許可 | 全ユーザー |
D.3.22. certServer.ee.profile
プロファイルの詳細を表示したり、プロファイルを介してリクエストを送信したりできるユーザーなど、エンドエンティティーページの証明書プロファイルへのアクセスを制御します。
allow (submit,read) user="anybody"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| submit | 証明書プロファイルを使用して証明書要求を送信します。 | 許可 | 全ユーザー |
| read | 証明書プロファイルの詳細の表示 | 許可 | 全ユーザー |
D.3.23. certServer.ee.profiles
エンドエンティティーページでアクティブな証明書プロファイルをリスト表示できるユーザーを制御します。
allow (list) user="anybody"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| list | 証明書プロファイルのリスト表示。 | 許可 | 全ユーザー |
D.3.24. certServer.ee.request.ocsp
クライアントが OCSP 要求を送信する IP アドレスに基づいてアクセスを制御します。
allow (submit) ipaddress=".*"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| submit | OCSP 要求を送信します。 | 許可 | すべての IP アドレス |
D.3.25. certServer.ee.request.revocation
エンドエンティティーページで証明書失効リスト要求を送信できるユーザーを制御します。
allow (submit) user="anybody"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| submit | 証明書を取り消す要求を送信します。 | 許可 | 全ユーザー |
D.3.26. certServer.ee.requestStatus
エンドエンティティーページで証明書要求のステータスを表示できるユーザーを制御します。
allow (read) user="anybody"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | その要求に対して発行された証明書の要求およびシリアル番号を取得します。 | 許可 | 全ユーザー |
D.3.27. certServer.job.configuration
Certificate Manager にジョブを設定できるユーザーを制御します。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | 基本的なジョブ設定、ジョブインスタンス設定、ジョブプラグイン設定を表示します。ジョブプラグインとジョブインスタンスをリスト表示します。 | Allow |
|
| modify | ジョブプラグインとジョブインスタンスを追加および削除します。ジョブプラグインとジョブインスタンスを変更します。 | Allow | 管理者 |
D.3.28. certServer.profile.configuration
証明書プロファイル設定へのアクセスを制御します。デフォルト設定は次のとおりです。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | 証明書プロファイルのデフォルトと制約、入力、出力、入力設定、出力設定、デフォルト設定、ポリシー制約の設定、および証明書プロファイルインスタンス設定を表示します。証明書プロファイルプラグインおよび証明書プロファイルインスタンスをリスト表示します。 | Allow |
|
| modify | 証明書プロファイルのデフォルトおよび制約、入力、出力、および証明書プロファイルインスタンスの追加、変更、削除を行います。デフォルトのポリシー制約の設定を追加および変更します。 | 許可 | 管理者 |
D.3.29. certServer.publisher.configuration
Certificate Manager の公開設定を表示および編集できるユーザーを制御します。デフォルト設定は以下のようになります。
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";allow (modify) group="Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | LDAP サーバーの宛先情報、パブリッシャープラグイン設定、パブリッシャーインスタンス設定、マッパープラグイン設定、マッパーインスタンス設定、ルールプラグイン設定、およびルールインスタンス設定を表示します。パブリッシャープラグインとインスタンス、ルールプラグインとインスタンス、マッパープラグインとインスタンスをリスト表示します。 | Allow |
|
| modify | パブリッシャープラグイン、パブリッシャーインスタンス、マッパープラグイン、マッパーインスタンス、ルールプラグイン、ルールインスタンスを追加および削除します。パブリッシャーインスタンス、マッパーインスタンス、ルールインスタンス、および LDAP サーバーの宛先情報を変更します。 | 許可 | 管理者 |
D.3.30. certServer.securitydomain.domainxml
ドメインホストの Certificate Manager によってレジストリーに保持されるセキュリティードメイン情報へのアクセスを制御します。セキュリティードメイン設定は、設定中にサブシステムインスタンスによって直接アクセスおよび変更されるため、サブシステムへの適切なアクセスを常に許可する必要があります。そうしないと、設定が失敗する可能性があります。
allow (read) user="anybody";allow (modify) group="Subsystem Group"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | セキュリティードメイン設定を表示します。 | 許可 | Anybody |
| modify | インスタンス情報を変更し、インスタンスを追加および削除して、セキュリティードメイン設定を変更します。 | 許可 |
|
