Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

D.4. キーリカバリー認証局固有の ACL

このセクションでは、KRA 向けに特別に適用されるデフォルトのアクセス制御設定を説明します。KRA ACL 設定には、「共通 ACL」 に記載の共通 ACL がすべて含まれています。

KRA の各インターフェイス (管理コンソール、エージェント、およびエンドエンティティーサービスページ) と、キーのリスト表示やダウンロードなどの一般的な操作に対して、アクセス制御ルールが設定されています。

D.4.1. certServer.job.configuration

KRA のジョブを設定できるユーザーを制御します。 

allow (read) group="Administrators" || group="Key Recovery Authority Agents" ||  group="Auditors";allow (modify) group="Administrators"
表D.41 certServer.job.configuration ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

read

基本的なジョブ設定、ジョブインスタンス設定、ジョブプラグイン設定を表示します。ジョブプラグインとジョブインスタンスをリスト表示します。

許可

  • 管理者
  • エージェント
  • 監査者

modify

ジョブプラグインとジョブインスタンスを追加および削除します。ジョブプラグインとジョブインスタンスを変更します。

許可

管理者

D.4.2. certServer.kra.certificate.transport

KRA のトランスポート証明書を表示できるユーザーを制御します。 

allow (read) user="anybody"
表D.42 certServer.kra.certificate.transport ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

read

KRA インスタンスのトランスポート証明書を表示します。

許可

全ユーザー

D.4.3. certServer.kra.configuration

KRA の設定を設定および管理するユーザーを制御します。 

allow (read) group="Administrators" || group="Auditors" || group="Key Recovery Authority Agents" || allow (modify) group="Administrators"
表D.43 certServer.kra.configuration ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

read

必要なリカバリーエージェントの承認の数を確認します。

許可

  • 管理者
  • エージェント
  • 監査者

modify

必要なリカバリーエージェントの承認の数を変更します。

許可

管理者

D.4.4. certServer.kra.connector

KRA に接続するために CA に設定された特別なコネクターで要求を送信できるエンティティーを制御します。デフォルト設定は以下のようになります。 

allow (submit) group="Trusted Managers"
表D.44 certServer.kra.connector ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

submit

新しい鍵のアーカイブ要求を送信します (TMS 以外)。

許可

信頼できるマネージャー

D.4.5. certServer.kra.GenerateKeyPair

KRA にキーリカバリー要求を送信できるユーザーを制御します。デフォルト設定は以下のようになります。 

allow (execute) group="Key Recovery Authority Agents"
表D.45 certServer.kra.GenerateKeyPair ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

実行

サーバー側のキー生成 (TMS のみ) を実行します。

許可

KRA エージェント

D.4.6. certServer.kra.getTransportCert

KRA にキーリカバリー要求を送信できるユーザーを制御します。デフォルト設定は以下のようになります。 

allow (download) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"
表D.46 certServer.kra.getTransportCert ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

download

KRA トランスポート証明書を取得します。

許可

エンタープライズ管理者

D.4.7. certServer.kra.group

KRA インスタンスのユーザーおよびグループを追加するために内部データベースへのアクセスを制御します。 

allow (modify,read) group="Administrators"
表D.47 certServer.kra.group ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

modify

インスタンスのユーザーおよびグループエントリーを作成、編集、削除します。

許可

管理者

read

インスタンスのユーザーおよびグループエントリーを表示します。

許可

  • 管理者

D.4.8. certServer.kra.key

鍵の表示、リカバリー、またはダウンロードを使用して鍵情報にアクセスできるユーザーを制御します。デフォルト設定は以下のようになります。 

allow (read,recover,download) group="Key Recovery Authority Agents"
表D.48 certServer.kra.key ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

read

重要なアーカイブ記録に関する公開情報を表示します。

許可

KRA エージェント

recover

データベースからキー情報を取得してリカバリー操作を実行します。

許可

KRA エージェント

download

エージェントサービスページからキー情報をダウンロードします。

許可

KRA エージェント

D.4.9. certServer.kra.keys

エージェントサービスページからアーカイブされた鍵をリスト表示できるユーザーを制御します。 

allow (list) group="Key Recovery Authority Agents"
表D.49 certServer.kra.keys ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

list

アーカイブされた鍵の範囲を検索し、リスト表示します。

許可

KRA エージェント

D.4.10. certServer.kra.registerUser

インスタンス用にエージェントユーザーを作成できるグループまたはユーザーを定義します。デフォルト設定は以下のようになります。 

allow (modify,read) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"
表D.50 certServer.kra.registerUser ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

modify

新規ユーザーを登録します。

許可

エンタープライズ管理者

read

既存のユーザー情報を読み込みます。

許可

エンタープライズ管理者

D.4.11. certServer.kra.request

エージェントサービスインターフェイスでキーのアーカイブとリカバリー要求を表示できるユーザーを制御します。 

allow (read) group="Key Recovery Authority Agents"
表D.51 certServer.kra.request ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

read

鍵のアーカイブまたはリカバリー要求を表示します。

許可

KRA エージェント

D.4.12. certServer.kra.request.status

エンドエンティティーページでキーリカバリー要求のステータスを表示できるユーザーを制御します。 

allow (read) group="Key Recovery Authority Agents"
表D.52 certServer.kra.request.status ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

read

エージェントサービスページでキーリカバリー要求のステータスを取得します。

許可

KRA エージェント

D.4.13. certServer.kra.requests

エージェントサービスインターフェイスでキーのアーカイブとリカバリー要求をリスト表示できるユーザーを制御します。 

allow (list) group="Key Recovery Authority Agents"
表D.53 certServer.kra.requests ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

list

キーアーカイブおよびリカバリー要求の範囲の詳細を取得します。

許可

KRA エージェント

D.4.14. certServer.kra.systemstatus

KRA インスタンスの統計を表示できるユーザーを制御します。 

allow (read) group="Key Recovery Authority Agents"
表D.54 certServer.kra.systemstatus ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

read

統計を表示します。

許可

KRA エージェント

D.4.15. certServer.kra.TokenKeyRecovery

トークンのキーリカバリー要求を KRA に送信するユーザーを制御します。これは、失われたトークンを置き換えるための一般的なリクエストです。デフォルト設定は以下のようになります。 

allow (submit) group="Key Recovery Authority Agents"
表D.55 certServer.kra.TokenKeyRecovery ACL の概要
操作説明アクセスの許可または拒否対象のユーザーまたはグループ

submit

トークンリカバリーのキーリカバリー要求を送信または開始します。

許可

KRA エージェント

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.