14.4. TPS のユーザーの作成および管理

TPS ユーザーに対して定義された ロール が 3 つあります。これは、TPS のグループとして機能します。

エージェント (トークンのステータスの設定やトークンポリシーの変更など、実際のトークン管理操作を実行するエージェント)
管理者 (TPS サブシステムのユーザーを管理し、トークンの制御を制限)
オペレーター (管理制御がないが、TPS からトークン、証明書、およびアクティビティーを表示および一覧表示できる)

TPS には、追加のグループを追加できません。

すべての TPS サブシステムユーザーは、証明書を含む LDAP ディレクトリーデータベースに対して認証され (TPS の Web サービスにアクセスするには証明書ベースの認証が必要なため)、認証プロセスは TPS グループエントリー ou=TUS Agents、ou=TUS Administrators、ou=TUS Agents を使用して、Apache の mod_tokendb モジュールを使用して、ユーザーが所属するロールを表示していることを確認します。

TPS のユーザーは、Web UI または CLI で追加および管理されます。Web UI は https://server.example.com:8443/tps/ui/ でアクセスできます。

Web UI または CLI を使用するには、TPS 管理者はユーザー証明書を使用して認証する必要があります。

14.4.1. ユーザーの一覧表示および検索

14.4.1.1. Web UI での操作

Web UI でユーザーを一覧表示するには、以下を実行します。

Accounts タブをクリックします。
Users メニュー項目をクリックします。ユーザーの一覧が表示されます。
特定のユーザーを検索するには、検索フィールドにキーワードを入力して Enter を押します。すべてのユーザーを再度一覧表示するには、キーワードを削除して Enter キーを押します。

14.4.1.2. コマンドラインでの操作

CLI のユーザーを一覧表示するには、以下を実行します。

pki -d client_db_dir -c client_db_password -n admin_cert_nickname tps-user-find

CLI からユーザー情報を表示するには、以下を実行します。

pki -d client_db_dir -c client_db_password -n admin_cert_nickname tps-user-show username

14.4.2. ユーザーの追加

14.4.2.1. Web UI での操作

Web UI でユーザーを追加するには、以下を実行します。

Accounts タブをクリックします。
Users メニュー項目をクリックします。
Users ページの Add ボタンをクリックします。
ユーザー ID、フルネーム、および TPS プロファイルを入力します。
Save ボタンをクリックします。

14.4.2.1.1. コマンドラインでの操作

CLI からユーザーを追加するには、以下を実行します。

pki -d client_db_dir -c client_db_password -n admin_cert_nickname tps-user-add username --fullName full_name

14.4.3. ユーザーのプロファイルの設定

TPS プロファイルは CA プロファイルとほぼ似ており、異なるタイプのトークンを処理するルールを定義します。プロファイルは、CUID などのトークンの特徴に基づいて自動的にトークンに割り当てられます。ユーザーは、割り当てられたプロファイルのトークンのみを表示できます。

注記

ユーザーは、トークン操作とトークンの両方など、設定されたプロファイルに関連するエントリーのみを表示できます。管理者が TPS で設定されたすべてのトークンを検索および管理できるようにするには、管理者ユーザーエントリーを All profiles に設定する必要があります。ユーザーに対して特定のプロファイルを設定することは、オペレーターおよびエージェントへのアクセスを特定のユーザーまたはトークンタイプに制御する簡単な方法です。

トークンプロファイルは、トークンに適用されるポリシーおよび設定のセットです。トークンプロファイルは、CCUID 範囲など、トークン自体の属性に基づいて自動的にトークンにマップされます。トークンプロファイルは、(『Red Hat Certificate System 計画、インストール、およびデプロイメントのガイド』にあるように) CA プロファイルディレクトリーに他の証明書プロファイルとして作成され、TPS 設定ファイル CS.cfg に追加され、CA のトークンプロファイルをトークンタイプにマッピングします。トークンマッピングの設定は、「Mapping Resolver の設定」で説明されています。

Web UI でユーザープロファイルを管理するには、以下を実行します。

Accounts タブをクリックします。
Users メニュー項目をクリックします。
変更するユーザーのユーザー名をクリックします。
Edit のリンクをクリックします。
TPS Profile フィールドにプロファイル名をコンマで区切って入力するか、All Profiles を入力します。
Save ボタンをクリックします。

14.4.4. ユーザーロールの管理

ロールは、TPS 内の単なるグループです。各ロールは、TPS サービスページのさまざまなタブを表示できます。このグループは編集されているため、ユーザーのロール割り当てを追加または削除できます。

ユーザーは、複数のロールまたはグループに属することができます。たとえば、ブートストラップユーザーは 3 つのグループすべてに属します。

14.4.4.1. Web UI での操作

Web UI からグループメンバーを管理するには、以下を実行します。

Accounts タブをクリックします。
Groups メニュー項目をクリックします。
TPS エージェントなど、変更するグループの名前をクリックします。
このグループにユーザーを追加するには、以下を実行します。
1. Add ボタンをクリックします。
2. ユーザー ID を入力します。
3. Add ボタンをクリックします。
このグループからユーザーを削除するには、次を実行します。
1. ユーザーの横にあるチェックボックスを選択します。
2. Remove ボタンをクリックします。
3. OK ボタンをクリックします。

14.4.4.2. コマンドラインでの操作

CLI からグループの一覧を表示するには、次のコマンドを実行します。

pki -d client_db_dir -c client_db_password -n admin_cert_nickname tps-group-find

CLI からグループメンバーを一覧表示するには、以下を実行します。

pki -d client_db_dir -c client_db_password -n admin_cert_nickname tps-group-member-find group_name

CLI からユーザーをグループに追加するには、以下を実行します。

pki -d client_db_dir -c client_db_password -n admin_cert_nickname tps-group-member-add group_name user_name

CLI からグループからユーザーを削除するには、以下を実行します。

pki -d client_db_dir -c client_db_password -n admin_cert_nickname tps-group-member-del group_name user_name

14.4.5. ユーザー証明書の管理

ユーザー証明書は CLI から管理できます。

ユーザー証明書を一覧表示するには、以下を実行します。

pki -d client_db_dir -c client_db_password -n admin_cert_nickname tps-user-cert-find user_name

証明書をユーザーに追加するには、以下を実行します。

新規ユーザーのユーザー証明書を取得します。証明書の要求および送信については、5章証明書の要求、登録、および管理 で説明されています。
重要
TPS 管理者が署名証明書が必要です。使用する推奨プロファイルは、手動のユーザー署名および暗号化証明書の登録です。

次のコマンドを実行します。

pki -d client_db_dir -c client_db_password -n admin_cert_nickname tps-user-cert-add user_name --serial cert_serial_number

ユーザーから証明書を削除するには、以下を実行します。

pki -d client_db_dir -c client_db_password -n admin_cert_nickname tps-user-cert-del user_name cert_id

14.4.6. TPS エージェントおよび管理者証明書の更新

証明書を 再生成 すると、元の鍵と元のプロファイルと要求を取得し、新しい有効期間と有効期限で同一の鍵を再作成します。

TPS には、サブシステムの作成時に作成されたブートストラップユーザーがあります。デフォルトの更新プロファイルの 1 つを使用して、元の証明書の有効期限が切れる前に、このユーザーに新しい証明書を要求できます。

管理ユーザーの証明書は、元の証明書のシリアル番号を使用して、エンドユーザー登録フォームで直接更新できます。

「証明書ベースの更新」の説明に従って、CA のエンドユーザーフォームでユーザー証明書を更新します。これは、最初に発行した証明書 (またはそのクローン) と同じ CA である必要があります。
エージェント証明書は、エンドエンティティーページの証明書ベースの更新フォーム (Self-renew user SSL client certificate) を使用して更新できます。このフォームは、ブラウザーの証明書ストアに保存されている証明書を直接認識して更新します。
注記
「certutil を使用した証明書の更新」で説明されているように、certutil を使用して証明書を更新することもできます。ブラウザーに保存されている証明書を使用して更新を開始するのではなく、certutil は元のキーで入力ファイルを使用します。
新しい証明書をユーザーに追加し、「ユーザー証明書の管理」の説明に従って古い証明書を削除します。

14.4.7. ユーザーの削除

警告

最後のユーザーアカウントを削除することができ、この操作は取り消せません。削除するユーザーについて、十分に注意してください。

Web UI でユーザーを削除するには、以下を実行します。

Accounts タブをクリックします。
Users メニュー項目をクリックします。
削除するユーザーの横にあるチェックボックスを選択します。
Remove ボタンをクリックします。
OK ボタンをクリックします。

CLI からユーザーを削除するには、以下を実行します。

pki -d client_db_dir -c client_db_password -n admin_cert_nickname tps-user-del user_name