Red Hat SummitD.2. 共通 ACL
このセクションでは、4 つのサブシステムタイプすべてに共通するデフォルトのアクセス制御設定を説明します。これらのアクセス制御ルールは、ユーザーやグループのログ記録や追加など、基本的で一般的な設定へのアクセスを管理します。
これらの ACL は、各サブシステムインスタンスの acl.ldif ファイルで同じ ACL が発生するのが一般的です。これらは、設定ファイルまたは設定がすべてのサブシステムインスタンスによって共通に保持されるという意味で、共有 ACL ではありません。他のすべてのインスタンス設定と同様に、これらの ACL は、インスタンス固有の acl.ldif ファイルで、他のサブシステムインスタンスとは独立して維持されます。
D.2.1. certServer.acl.configuration
ACL 設定への操作を制御します。デフォルト設定は以下のようになります。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | ACL リソースを表示し、ACL リソース、ACL リストエバリュエーター、および ACL エバリュエータータイプをリスト表示します。 | 許可 |
|
| modify | ACL エバリュエーターの追加、削除、および更新。 | 許可 | 管理者 |
D.2.2. certServer.admin.certificate
Certificate Manager から証明書をインポートするユーザーを制御します。デフォルトでは、この操作はすべてのユーザーが許可されます。デフォルト設定は以下のようになります。
allow (import) user="anybody"
このエントリーは、インスタンスの設定に使用される CA 管理 Web インターフェイスに関連付けられています。この ACL は、インスタンスの設定中にのみ使用可能であり、CA の実行後には使用できません。
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| import | CA 管理者証明書をインポートして、シリアル番号で証明書を取得します。 | 許可 | 全ユーザー |
D.2.3. certServer.auth.configuration
認証設定の操作を制御します。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | 認証プラグイン、認証タイプ、設定済みの認証マネージャープラグイン、および認証インスタンスを表示します。認証マネージャープラグインおよび認証マネージャーインスタンスをリスト表示します。 | Allow |
|
| modify | 認証プラグインおよび認証インスタンスを追加または削除します。認証インスタンスを変更します。 | 許可 | 管理者 |
D.2.4. certServer.clone.configuration
クローン作成で使用される設定情報を読み取り、変更できるユーザーを制御します。デフォルト設定は次のとおりです。
allow (modify,read) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | 元のインスタンス設定を表示します。 | 許可 | エンタープライズ管理者 |
| modify | 元のインスタンス設定を変更します。 | 許可 | エンタープライズ管理者 |
D.2.5. certServer.general.configuration
CA の設定を表示および編集できるユーザーなど、サブシステムインスタンスの一般的な設定へのアクセスを制御します。
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";allow (modify) group="Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | 管理用の運用環境、LDAP 設定、SMTP 設定、サーバー統計、暗号化、トークン名、証明書のサブジェクト名、証明書のニックネーム、サーバーによって読み込むすべてのサブシステム、CA 証明書、およびすべての証明書を表示します。 | 許可 |
|
| modify | LDAP データベース、SMTP、および暗号化の設定を変更します。インポート証明書の発行、証明書のインストール、CA 証明書の信頼と信頼解除、クロスペア証明書のインポート、および証明書の削除。サーバーの再起動および停止操作を実行します。すべてのトークンにログインして、トークンのステータスを確認します。オンデマンドでセルフテストを実行します。証明書情報を取得します。証明書サブジェクト名を処理します。証明書サブジェクト名、証明書キーの長さ、および証明書拡張機能を検証します。 | 許可 | 管理者 |
D.2.6. certServer.log.configuration
ログ設定の変更など、Certificate Manager のログ設定へのアクセスを制御します。
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";allow (modify) group="Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | ログプラグイン情報、ログプラグイン設定、ログインスタンス設定を表示します。ログプラグインおよびログインスタンスをリスト表示します (NTEventLog を除く)。 | Allow |
|
| modify | ログプラグインとログインスタンスを追加および削除します。ログロールオーバーパラメーターやログレベルなど、ログインスタンスを変更します。 | 許可 | 管理者 |
D.2.7. certServer.log.configuration.fileName
インスタンスのログのファイル名を変更するアクセスを制限します。
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";deny (modify) user=anybody
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read |
ログインスタンスの | 許可 |
|
| modify |
ログインスタンスの | 却下 | 全ユーザー |
D.2.8. certServer.log.content.signedAudit
署名付き監査ログにアクセスできるユーザーを制御します。デフォルト設定は次のとおりです。
allow (read) group="Auditors"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | ログの内容を表示します。ログをリスト表示します。 | 許可 |
|
D.2.9. certServer.registry.configuration
プラグインモジュールの登録に使用されるファイルである管理レジストリーへのアクセスを制御します。現在、これは証明書プロファイルプラグインの登録にのみ使用されます。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | 管理レジストリー、サポートされているポリシー制約、プロファイルプラグインの設定、およびプロファイルプラグインのリストを表示します。 | Allow |
|
| modify | 個々のプロファイル実装プラグインを登録します。 | Allow | 管理者 |
