第56章 ホストベースのアクセス制御ルールの設定
ホストベースのアクセス制御 (HBAC) ルールを使用して、Identity Management (IdM) ドメインのアクセス制御を管理できます。HBAC ルールは、どのユーザーまたはユーザーグループが、どのサービスまたはサービスグループ内のサービスを使用して、指定されたホストまたはホストグループにアクセスできるかを定義します。たとえば、HBAC ルールを使用して次の目的を達成できます。
- 指定のユーザーグループのメンバーだけがドメイン内の特定のシステムにアクセスできるように制限する。
- ドメイン内のシステムにアクセスするために特定のサービスのみを使用できます。
デフォルトでは、IdM は allow_all という名前のデフォルトの HBAC ルールで設定されます。この設定では、IdM ドメイン全体の関連するサービスをどれでも使用して、すべてのユーザーがすべてのホストに普遍的にアクセスできます。
デフォルトの allow_all ルールを独自の HBAC ルールセットに置き換えることで、さまざまなホストへのアクセスを微調整できます。個別のユーザー、ホスト、またはサービスではなく、ユーザーグループ、ホストグループ、またはサービスグループに HBAC ルールを適用して、アクセス制御管理を集中化および簡素化できます。
56.1. WebUI を使用した IdM ドメインでの HBAC ルールの設定
ホストベースのアクセス制御用にドメインを設定するには、次の手順を実行します。
- IdM WebUI で HBAC ルールを作成 します。
- 新しい HBAC ルールをテスト します。
-
デフォルトの
allow_allHBAC ルールを無効化 します。
カスタム HBAC ルールを作成する前に allow_all ルールを無効にしないでください。無効にすると、どのユーザーもホストにアクセスできなくなります。
56.1.1. IdM WebUI での HBAC ルールの作成
IdM WebUI を使用してホストベースのアクセス制御用にドメインを設定するには、以下の手順に従います。この例では、任意のサービスを使用してドメイン内のすべてのシステムにアクセスする権限を、1 人のユーザー sysadmin に付与する方法を説明します。
IdM は、ユーザーのプライマリーグループを、IdM グループオブジェクトへのリンクの代わりに、gidNumber 属性の数値として保存します。このため、HBAC ルールで参照できるのはユーザーの補助グループだけで、プライマリーグループは参照できません。
前提条件
- ユーザー sysadmin が IdM に存在する。
手順
- Policy > Host-Based Access Control > HBAC Rules を選択します。
- をクリックして、新規ルールの追加を開始します。
- ルールの名前を入力し、 をクリックして HBAC ルール設定ページを開きます。
- Who エリアで、Specified Users and Groups を選択します。次に、 をクリックしてユーザーまたはグループを追加します。
- Available ユーザーのリストから sysadmin ユーザーを選択し、 をクリックして Prospective ユーザーのリストに移動し、 をクリックします。
- Accessing エリアで Any Host を選択して、HBAC ルールをすべてのホストに適用します。
Via Service エリアで Any Service を選択して、HBAC ルールをすべてのサービスに適用します。
注記主なサービスとサービスグループのみが、デフォルトで HBAC ルール用に設定されます。
- 現在利用可能なサービスのリストを表示するには、Policy > Host-Based Access Control > HBAC Services を選択します。
- 現在利用可能なサービスグループのリストを表示するには、Policy > Host-Based Access Control > HBAC Service Groups を選択します。
さらにサービスとサービスグループを追加するには、カスタム HBAC サービス用の HBAC サービスエントリーの追加 および HBAC サービスグループの追加 を参照してください。
- HBAC ルール 設定ページで行った変更を保存するには、ページの上部にある をクリックします。
56.1.2. IdM WebUI での HBAC ルールのテスト
IdM では、シミュレートシナリオを使用して、さまざまな状況で HBAC 設定をテストできます。シミュレートしたテストを実行することで、実稼働環境に HBAC ルールをデプロイする前に、設定ミスやセキュリティーリスクを見つけることができます。
実稼働環境で使用する前に、カスタム HBAC ルールを常にテストしてください。
IdM では、信頼された Active Directory (AD) ユーザーに対する HBAC ルールの影響については検証されない点に注意してください。IdM LDAP ディレクトリーには AD データが保存されないため、IdM は、HBAC シナリオをシミュレートするときに AD ユーザーのグループメンバーシップを解決できません。
手順
- Policy > Host-Based Access Control > HBAC Test を選択します。
- Who ウィンドウで、テスト実行時に使用するアイデンティティーを持つユーザーを指定し、 をクリックします。
- Accessing ウィンドウで、ユーザーがアクセスするホストを指定し、 をクリックします。
- Via Service ウィンドウで、ユーザーが使用するサービスを指定し、 をクリックします。
Rules ウィンドウで、テストする HBAC ルールを選択し、 をクリックします。ルールを選択しない場合は、すべてのルールがテストされます。
Include Enabled を選択すると、ステータスが Enabled であるすべてのルールでテストを実行します。Include Disabled を選択すると、ステータスが Disabled であるすべてのルールでテストを実行します。HBAC ルールのステータスを表示および変更するには、Policy > Host-Based Access Control > HBAC Rules を選択します。
重要複数のルールでテストを実行した場合、選択したルールの少なくとも 1 つがアクセスを許可していれば成功となります。
- Run Test ウィンドウで、 をクリックします。
テスト結果を確認します。
- ACCESS DENIED と表示された場合、テストでユーザーのアクセスが許可されていないことを示しています。
- ACCESS GRANTED と表示された場合、ユーザーはホストに正常にアクセスできることを示しています。
デフォルトでは、IdM はテスト結果を表示する際に、テストされている HBAC ルールをすべてリスト表示します。
- Matched を選択すると、正常なアクセスを許可したルールが表示されます。
- Unmatched を選択すると、アクセスを阻止したルールが表示されます。
56.1.3. IdM WebUI での HBAC ルールの無効化
HBAC ルールを無効にすることはできますが、ルールは非アクティブ化されるだけで、削除されません。HBAC ルールを無効にした場合は、後で再度有効にできます。
カスタム HBAC ルールを初めて設定する場合は、HBAC ルールを無効にすると便利です。新しい設定がデフォルトの low_all HBAC ルールで上書きされないようにするには、low_all を無効にする必要があります。
手順
- Policy > Host-Based Access Control > HBAC Rules を選択します。
- 無効にする HBAC ルールを選択します。
- をクリックします。
- をクリックして、選択した HBAC ルールを無効にすることを確認します。
