第22章 ポリシー: ホストベースのアクセス制御の設定


IdM は、IdM ドメイン内のマシンおよびそれらのマシンのサービスの両方へのアクセスを制御できます。ルールは、(システムやアプリケーション設定で定義される) アクセスのレベルではなく、ドメイン内の対象にアクセスできるユーザーを定義します。これらのアクセス制御ルールにより、他のすべてのユーザーとホストが暗黙的に拒否されたアクセスを許可します。
ルールが、ユーザーがアクセスできるドメイン内のホスト (ターゲット) を定義するため、ホストベースのアクセス制御と呼ばれます。このアクセスは、それらのホストのユーザーおよびサービスにさらに分類できます。
注記
ホストベースのアクセス制御を使用する場合は、SSSD を IdM クライアントマシンにインストールし、設定する必要があります。

22.1. ホストベースのアクセス制御

ホストベースのアクセス制御ルール (「22章ポリシー: ホストベースのアクセス制御の設定」で説明) は、個別のホストに適用できます。ただし、ホストグループを使用すると、アクセス制御ルールを一度だけ定義してからグループ内のすべてのホストに一貫して適用するため、集中された (場合によっては簡素化された) アクセス制御管理が可能になります。

図22.1 ホストグループとホストベースのアクセス制御

ホストグループとホストベースのアクセス制御
注記
IdM ドメイン内のユーザーおよびホストへのアクセスは明示的に付与する必要がありますが、IdM サーバーは、ドメイン内のすべてのホストに対するアクセスを許可する allow all アクセス制御ルールでデフォルトで設定されます。
デフォルトの allow all ルールを使用せずに IdM サーバーを作成するには、--no_hbac_allow オプションを指定して ipa-server-install を実行します。
ルール は最初にアクセス可能なものを定義します。以下の 2 つのタイプのエンティティーがあります。
  • IdM ドメイン内のホストまたは ターゲットホスト。
  • ターゲットホストのサービス複数のサービスを サービスグループ に統合できます。サービスグループは、アクセス制御ルール自体を編集しなくても変更できます。
ルールは、アクセスできる ユーザー (IdM ドメインユーザー) も設定します。
ヒント
アクセス制御ルールに個別に追加する代わりに、ユーザーおよびターゲットホストにカテゴリーを使用することができます。サポートされるカテゴリーは all のみです。
ホストベースのアクセス制御ルールのエンタイトルは、Kerberos プリンシパルエントリーユーザー、ホスト (マシン)、サービスに従います。ユーザーおよびターゲットホストは、ホストベースのアクセス制御ルールに直接追加できます。ただし、まずホストベースのアクセス制御設定にサービスを追加して、ルールを使用できるようにし、次にアクセス制御ルールに追加する必要があります。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.