Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第18章 ロールユーザーの作成

「デフォルトの管理ロール」 の説明にあるように、ブートストラップユーザーがインストール時に作成されていました。インストール後に、実際のユーザーを作成して、適切なシステム特権を割り当てます。各ユーザーは、1 つのロール (グループ) のみのメンバーである必要があります。

この章では、次の方法を説明します。

  • オペレーティングシステム上での Certificate System の管理ユーザーの作成
  • Certificate System での PKI ロールの作成

18.1. オペレーティングシステムでの PKI 管理ユーザーの作成

このセクションは、管理者ロールユーザーを対象にしています。Agent および Auditor ロールユーザー。「Certificate System での PKI ロールユーザーの作成」 を参照してください。

一般に、Certificate System の管理者、エージェント、および監査人は、コマンドラインユーティリティー、Java コンソール、ブラウザーなどのクライアントアプリケーションを使用して、Certificate System インスタンスをリモートで管理できます。大多数の CS 管理タスクでは、Certificate System ロールユーザーは、インスタンスを実行するホストマシンにログインする必要はありません。たとえば、監査人のユーザーは検証のために署名された監査ログをリモートで取得でき、エージェントロールのユーザーはエージェントインターフェイスを使用して証明書の発行を承認でき、管理者ロールのユーザーはコマンドラインユーティリティーを使用してプロファイルを設定できます。

ただし、場合によっては、Certificate System 管理者は、ホストシステムにログインして設定ファイルを直接変更するか、Certificate System インスタンスを開始または停止する必要があります。したがって、オペレーティングシステムでは、管理者ロールユーザーは、設定ファイルに変更を加えたり、Red Hat Certificate System に関連付けられたさまざまなログを読み取ったりできるユーザーである必要があります。

注記

Certificate System の管理者または監査人以外の人が監査ログファイルにアクセスすることを許可しないでください。

  1. オペレーティングシステムに pkiadmin グループを作成します。

    Copy to Clipboard Toggle word wrap 
    # groupadd -r pkiadmin

  2. pkiadmin グループに pkiuser を追加します。

    Copy to Clipboard Toggle word wrap 
    # usermod -a -G pkiadmin pkiuser

  3. オペレーティングシステムでユーザーを作成します。たとえば、jsmith アカウントを作成するには、以下を実行します。

    Copy to Clipboard Toggle word wrap 
    # useradd -g pkiadmin -d /home/jsmith -s /bin/bash -c "Red Hat Certificate System Administrator John Smith" -m jsmith

    詳細は、useradd(8) の man ページを参照してください。

  4. ユーザー jsmithpkiadmin グループに追加します。

    Copy to Clipboard Toggle word wrap 
    # usermod -a -G pkiadmin jsmith

    詳細は、usermod(8) の man ページを参照してください。

    nCipher ハードウェアセキュリティーモジュール (HSM) を使用している場合は、HSM デバイスを管理するユーザーを nfast グループに追加します。

    Copy to Clipboard Toggle word wrap 
    # usermod -a -G nfast pkiuser
# usermod -a -G nfast jsmith

  5. 適切な sudo ルールを追加して、pkiadmin グループを Certificate System およびその他のシステムサービスに許可します。

    管理とセキュリティーの両方を簡素化するために、Certificate System と Directory Server のプロセスを設定して、(root だけでなく) PKI 管理者がサービスを開始および停止できるようにすることができます。

    サブシステムを設定する際に pkiadmin システムグループの使用が推奨されるオプションです。(詳細は 「Certificate System のオペレーティングシステムのユーザーおよびグループ」 を参照)。Certificate System 管理者であるすべてのオペレーティングシステムユーザーがこのグループに追加されます。pkiadmin のシステムグループが存在する場合は、特定のタスクを実行するための sudo アクセスを付与することができます。

    1. /etc/sudoers ファイルを編集します。Red Hat Enterprise Linux では、visudo コマンドを使用して実行できます。

      Copy to Clipboard Toggle word wrap 
      # visudo

    2. マシンにインストールされているものに応じて、Directory Server、{ADS}、PKI 管理ツール、および各 PKI サブシステムインスタンスの行を追加して、pkiadmin グループに sudo 権限を付与します。

      Copy to Clipboard Toggle word wrap 
      # For Directory Server services
%pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv.target
%pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv-admin.service

# For PKI instance management
%pkiadmin ALL = PASSWD: /usr/sbin/pkispawn *
%pkiadmin ALL = PASSWD: /usr/sbin/pkidestroy *

# For PKI instance services
%pkiadmin ALL = PASSWD: /usr/bin/systemctl * pki-tomcatd@instance_name.service
    重要

    マシン上のすべての Certificate System、Directory Server、{ADS} と、マシン上のそれらのインスタンスに対して のみ、sudo パーミッションを設定してください。マシンに同じサブシステムタイプのインスタンスが複数存在する場合と、サブシステムタイプのインスタンスが存在しない場合があります。これはデプロイメントによって異なります。

  6. 以下のファイルのグループを pkiadmin に設定します。

    Copy to Clipboard Toggle word wrap 
    # chgrp pkiadmin /etc/pki/ instance_name/server.xml
# chgrp -R pkiadmin /etc/pki/ instance_name/alias
# chgrp pkiadmin /etc/pki/ instance_name/subsystem/CS.cfg
# chgrp pkiadmin /var/log/pki/ instance_name/subsystem/debug

オペレーティングシステムで管理ユーザーを作成したら、「Certificate System での PKI ロールユーザーの作成」 の手順に従います。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat, Inc.