第18章 ロールユーザーの作成
「デフォルトの管理ロール」 の説明にあるように、ブートストラップユーザーがインストール時に作成されていました。インストール後に、実際のユーザーを作成して、適切なシステム特権を割り当てます。各ユーザーは、1 つのロール (グループ) のみのメンバーである必要があります。
本章では、以下を行う方法を説明します。
- オペレーティングシステム上での Certificate System の管理ユーザーの作成
- Certificate System での PKI ロールの作成
18.1. オペレーティングシステムでの PKI 管理ユーザーの作成
このセクションは、管理者ロールユーザーを対象にしています。agent および Auditor ロールユーザー。「証明書システムでの PKI ロールユーザーの作成」を参照してください。
一般に、Certificate System の管理者、エージェント、および監査人は、コマンドラインユーティリティー、Java コンソール、ブラウザーなどのクライアントアプリケーションを使用して、Certificate System インスタンスをリモートで管理できます。大多数の CS 管理タスクでは、Certificate System ロールユーザーは、インスタンスを実行するホストマシンにログインする必要はありません。たとえば、監査人のユーザーは検証のために署名された監査ログをリモートで取得でき、エージェントロールのユーザーはエージェントインターフェイスを使用して証明書の発行を承認でき、管理者ロールのユーザーはコマンドラインユーティリティーを使用してプロファイルを設定できます。
ただし、場合によっては、Certificate System 管理者は、ホストシステムにログインして設定ファイルを直接変更するか、Certificate System インスタンスを開始または停止する必要があります。したがって、オペレーティングシステムでは、管理者ロールユーザーは、設定ファイルに変更を加えたり、Red Hat Certificate System に関連付けられたさまざまなログを読み取ったりできるユーザーである必要があります。
注記
Certificate System の管理者または監査人以外の人が監査ログファイルにアクセスすることを許可しないでください。
- オペレーティングシステムに
pkiadmin
グループを作成します。# groupadd -r pkiadmin
pkiadmin
グループにpkiuser
を追加します。# usermod -a -G pkiadmin pkiuser
- オペレーティングシステムでユーザーを作成します。たとえば、
jsmith
アカウントを作成するには、以下を実行します。# useradd -g pkiadmin -d /home/jsmith -s /bin/bash -c "Red Hat Certificate System Administrator John Smith" -m jsmith
詳細は、useradd(8) の man ページを参照してください。 - ユーザー
jsmith
をpkiadmin
グループに追加します。# usermod -a -G pkiadmin jsmith
詳細は、usermod(8) の man ページを参照してください。nCipher ハードウェアセキュリティーモジュール (HSM) を使用している場合は、HSM デバイスを管理するユーザーをnfast
グループに追加します。# usermod -a -G nfast pkiuser # usermod -a -G nfast jsmith
- 適切な
sudo
ルールを追加して、pkiadmin
グループを Certificate System およびその他のシステムサービスに許可します。管理とセキュリティーの両方を簡素化するために、Certificate System と Directory Server のプロセスを設定して、(root だけでなく) PKI 管理者がサービスを開始および停止できるようにすることができます。サブシステムを設定する際にpkiadmin
システムグループの使用が推奨されるオプションです。(詳細は 「Certificate System のオペレーティングシステムのユーザーおよびグループ」です)。Certificate System 管理者であるすべてのオペレーティングシステムユーザーがこのグループに追加されます。pkiadmin
のシステムグループが存在する場合は、特定のタスクを実行するための sudo アクセスを付与することができます。/etc/sudoers
ファイルを編集します。Red Hat Enterprise Linux では、visudo コマンドを使用して実行できます。# visudo
- マシンにインストールされているものに応じて、Directory Server、Administration Server、PKI 管理ツール、および各 PKI サブシステムインスタンスの行を追加して、pkiadmin グループに sudo 権限を付与します。
# For Directory Server services %pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv.target %pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv-admin.service # For PKI instance management %pkiadmin ALL = PASSWD: /usr/sbin/pkispawn * %pkiadmin ALL = PASSWD: /usr/sbin/pkidestroy * # For PKI instance services %pkiadmin ALL = PASSWD: /usr/bin/systemctl * pki-tomcatd@instance_name.service
重要マシン上のすべての Certificate System、Directory Server、および Administration Server に対して、またマシン上のそれらのインスタンスに対して のみ、sudo パーミッションを設定してください。マシンに同じサブシステムタイプのインスタンスが複数存在する場合と、サブシステムタイプのインスタンスが存在しない場合があります。これはデプロイメントによって異なります。 - 以下のファイルのグループを
pkiadmin
に設定します。# chgrp pkiadmin /etc/pki/instance_name/server.xml # chgrp -R pkiadmin /etc/pki/instance_name/alias # chgrp pkiadmin /etc/pki/instance_name/subsystem/CS.cfg # chgrp pkiadmin /var/log/pki/instance_name/subsystem/debug
オペレーティングシステムで管理ユーザーを作成したら、「証明書システムでの PKI ロールユーザーの作成」 の手順に従います。