ホーム
製品
Red Hat Enterprise Linux
10
Managing IdM users groups hosts and access control rules
46.2.2. IdM CLI での HBAC ルールのテスト

46.2.2. IdM CLI での HBAC ルールのテスト

実稼働環境にルールをデプロイする前に、シミュレーションシナリオを使用して CLI で Identity Management (IdM)HBAC ルール設定をテストし、設定ミスやセキュリティーリスクを発見してください。

重要

実稼働環境で使用する前に、カスタム HBAC ルールを常にテストしてください。

IdM では、信頼された Active Directory (AD) ユーザーに対する HBAC ルールの影響は検証されない点に注意してください。IdM LDAP ディレクトリーには AD データが保存されないため、IdM は、HBAC シナリオをシミュレートするときに AD ユーザーのグループメンバーシップを解決できません。

手順

ipa hbactest コマンドを使用して、HBAC ルールをテストします。1 つの HBAC ルールをテストする方法と、複数の HBAC ルールをテストする方法があります。
- 1 つの HBAC ルールをテストするには、以下を実行します。
  $ ipa hbactest --user=sysadmin --host=server.idm.example.com --service=sudo --rules=rule_name --------------------- Access granted: True --------------------- Matched rules: rule_name
- 複数の HBAC ルールをテストするには、以下を実行します。
  1. sysadmin にすべてのホストで ssh の使用のみを許可する 2 番目のルールを追加します。
    
    $ ipa hbacrule-add --hostcat=all rule2_name $ ipa hbacrule-add-user --users sysadmin rule2_name $ ipa hbacrule-add-service --hbacsvcs=sshd rule2_name Rule name: rule2_name Host category: all Enabled: True Users: admin HBAC Services: sshd ------------------------- Number of members added 1 -------------------------
  2. 次のコマンドを実行して、複数の HBAC ルールをテストします。
    
    $ ipa hbactest --user=sysadmin --host=server.idm.example.com --service=sudo --rules=rule_name --rules=rule2_name -------------------- Access granted: True -------------------- Matched rules: rule_name Not matched rules: rule2_name
    
    出力において、Matched rules には正常なアクセスを許可したルールがリスト表示され、Not matched rules にはアクセスを妨げたルールがリスト表示されます。--rules オプションを指定しない場合は、すべてのルールが適用されることに注意してください。--rules を使用すると、各ルールを個別にテストするのに役立ちます。

46.2.2. IdM CLI での HBAC ルールのテスト

詳細情報

試用、購入および販売

コミュニティー

会社概要

多様性を受け入れるオープンソースの強化

Red Hat ドキュメントについて

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links