22.3.2. コマンドラインでのホストベースのアクセス制御ルールの設定


アクセス制御ルールは、hbacrule-* コマンド (表22.1「ホストベースのアクセス制御コマンドおよびオプション」) を使用して作成されます。最初のステップでは、コンテナーエントリーを作成します。そこから、ユーザー、ホスト、およびサービスをアクセス制御エントリーに追加できます。
すべてのアクセス制御コマンドの基本的な概要は以下のとおりです。
$ ipa hbacrule-add* options ruleName
ヒント
すべてのユーザーまたはすべてのホストをターゲットとして設定するには、--usercat=all などのカテゴリーオプションを使用します。

例22.1 1 つのホストへのすべてのアクセス権限の付与

1 つの単純なルールの 1 つは、すべてのユーザーが 1 台のサーバーへのアクセスを許可することです。最初のコマンドはエントリーを作成し、カテゴリーのオプションを使用して全ユーザーを適用します。
$ ipa hbacrule-add --usercat=all allGroup
--------------------------
Added HBAC rule "allGroup"
--------------------------
  Rule name: allGroup
  User category: all
  Enabled: TRUE
2 番目のルールは、hbacrule-add-host コマンドを使用してターゲットホストを追加します。
$ ipa hbacrule-add-host --hosts=server.example.com allGroup
  Rule name: allGroup
  User category: all
  Enabled: TRUE
  Successful hosts/hostgroups:
    member host: server.example.com
-------------------------
Number of members added 1
-------------------------

例22.2 サービスへの単一ユーザーのコントロールの追加

もう 1 つのアクセス制御方法は、ユーザーがターゲットホストにアクセスできるサービスを指定することです。
まず、すべてのユーザーがすべてのマシンにアクセスできるようにするには、ホストとターゲットの両方としてすべてのホストを追加する必要があります。これは、カテゴリーのオプションを使用して行うことができます。
$ ipa hbacrule-add --hostcat=all sshd-jsmith
アクセス制御ルールは特定のユーザーに適用されるため、hbacrule-add-user コマンドを使用してルールに追加されます。
$ ipa hbacrule-add-user --users=jsmith sshd-jsmith
次に、サービスはアクセス制御ルールに追加されます。(この hbacsvc-add コマンドを使用して、このサービスはすでにアクセス制御システムに追加されているはずです。) これは、ユーザーがマシンへの接続に使用できるサービスです。
$ ipa hbacrule-add-service --hbacsvcs=sshd sshd-jsmith

例22.3 サービスグループのルールへの追加

1 つのサービスをルールに追加できますが、サービスグループ全体を追加することもできます。1 つのサービスと同様に、この hbacrule-add-service コマンドはグループ名を指定する --hbacsvcgroups オプションとともにのみ使用されます。
$ ipa hbacrule-add-service --hbacsvcgroups=login loginRule
表22.1 ホストベースのアクセス制御コマンドおよびオプション
コマンド 説明 引数 ソースまたはターゲットエントリー
hbacrule-add ホストベースのアクセス制御ルールを新たに追加します。
  • --usercat=all: ルールをすべてのユーザーに適用します。
  • --hostcat=all。すべてのホストを許可されたターゲットサーバーとして設定します。
  • --servicecat=all。設定済みのサービスをすべて許可されたターゲットサービスとして設定します。
  • ruleName。新しいルールに必要な一意の識別子です。
hbacrule-add-host ターゲットホストをアクセス制御ルールに追加します。ターゲットホストは、ドメイン内 他のサーバーおよびユーザーからアクセスできます。
  • --hosts。個々のサーバーまたはコマンド区切りのサーバーを、許可されたターゲットサーバーとして追加します。
  • --hostgroups。ルールにホストグループを追加し、ホストグループ内のすべてのホストは、許可されているターゲットサーバーです。
  • RuleName: ターゲットサーバーを追加するルールです。
ターゲット
hbacrule-add-service ルールにサービスタイプを追加します。
  • --hbacsvcs: 個々のサービス種別またはサービス種別のコンマ区切りリストを、許可されたターゲットサービスとして追加します。
  • --hbacsvcgroups: サービスグループをルールに追加し、サービスグループ内のすべてのサービスが、許可されるターゲットサービスになります。
  • RuleName: ターゲットサービスを追加するルールです。
ターゲット
hbacrule-add-user アクセス制御ルールにユーザーを追加します。その後、ユーザーはドメイン内の許可されたターゲットホストまたはサービスにアクセスできます。
  • --users。個々のユーザーまたはコマンドで区切られたユーザーのリストをルールに追加します。
  • --groups。ルールにユーザーグループを追加します。グループ内のすべてのユーザー。
  • RuleName: ユーザーを追加するルールです。
ソース
hbacrule-disable | hbacrule-enable ホストベースのアクセス制御ルールを無効にするか、または有効にします。ルールは、動作を評価する必要がある場合にルールを無効にすることができます (トラブルシューティングまたは新しいルールをテストする場合)。 RuleName: 無効にまたは有効にするルールです。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.