Red Hat Summit第19章 Bootstrap ユーザーの削除
ブートストラップユーザーを削除する前に、18章ロールユーザーの作成 の説明に従って実際の PKI 管理ユーザーを作成します。
ブートストラップユーザーを削除するには、Red Hat Certificate System 管理ガイド の Certificate System ユーザーの削除 セクションで説明されている手順に従います。
19.1. マルチロールサポートの無効化
デフォルトでは、ユーザーは一度に複数のサブシステムグループに属することができ、ユーザーは複数のロールとして機能できます。たとえば、John Smith はエージェントと管理者グループの両方に属する可能性があります。ただし、安全性の高い環境では、サブシステムのロールを制限して、ユーザーが 1 つのロールにしか所属できないようにする必要があります。そのためには、インスタンスの設定で multirole 属性を無効にします。
すべてのサブシステムの場合:
サーバーを停止します。
# systemctl stop pki-tomcatd@instance_name.serviceまたは (
nuxwdog watchdogを使用している場合)# systemctl stop pki-tomcatd-nuxwdog@instance_name.serviceCS.cfgファイルを開きます。# vim /var/lib/pki/ instance_name/ca/conf/CS.cfg-
multiroles.enableパラメーターの値をtrueからfalseに変更します。 マルチロール設定に影響のある Certificate System のデフォルトロールリストを追加または編集します。複数のロールが無効になっており、ユーザーが
multiroles.false.groupEnforceListパラメーターにリストされているロールの 1 つ に属している場合、そのユーザーはリスト内の他のロールのグループに追加できません。multiroles.false.groupEnforceList=Administrators,Auditors,Trusted Managers,Certificate Manager Agents,Registration Manager Agents,Key Recovery Authority Agents,Online Certificate Status Manager Agents,Token Key Service Manager Agents,Enterprise CA Administrators,Enterprise KRA Adminstrators,Enterprise OCSP Administrators,Enterprise TKS Administrators,Enterprise TPS Administrators,Security Domain Administrators,Subsystem Group
サービスを再起動します。
systemctl start pki-tomcatd@instance_name.serviceまたは (
nuxwdog watchdogを使用している場合)# systemctl start pki-tomcatd-nuxwdog@instance_name.service
