41.4. Definição de uma ACL CA para controlar o acesso aos perfis de certificado
Este procedimento descreve como usar o utilitário caacl
para definir uma regra da CA Access Control List (ACL) para permitir aos usuários em um grupo o acesso a um perfil de certificado personalizado. Neste caso, o procedimento descreve como criar um grupo de usuários S/MIME e uma ACL da CA para permitir aos usuários nesse grupo acesso ao perfil de certificado smime
.
Pré-requisitos
- Certifique-se de ter obtido as credenciais do administrador da IdM.
Procedimento
Criar um novo grupo para os usuários do modelo de certificado:
$ ipa group-add smime_users_group --------------------------------- Added group "smime users group" --------------------------------- Group name: smime_users_group GID: 75400001
Criar um novo usuário para adicionar ao grupo
smime_user_group
:$ ipa user-add smime_user First name: smime Last name: user ---------------------- Added user "smime_user" ---------------------- User login: smime_user First name: smime Last name: user Full name: smime user Display name: smime user Initials: TU Home directory: /home/smime_user GECOS: smime user Login shell: /bin/sh Principal name: smime_user@IDM.EXAMPLE.COM Principal alias: smime_user@IDM.EXAMPLE.COM Email address: smime_user@idm.example.com UID: 1505000004 GID: 1505000004 Password: False Member of groups: ipausers Kerberos keys available: False
Acrescente o
smime_user
ao gruposmime_users_group
:$ ipa group-add-member smime_users_group --users=smime_user Group name: smime_users_group GID: 1505000003 Member users: smime_user ------------------------- Number of members added 1 -------------------------
Criar a CA ACL para permitir que os usuários do grupo tenham acesso ao perfil do certificado:
$ ipa caacl-add smime_acl ------------------------ Added CA ACL "smime_acl" ------------------------ ACL name: smime_acl Enabled: TRUE
Adicione o grupo de usuários ao CA ACL:
$ ipa caacl-add-user smime_acl --group smime_users_group ACL name: smime_acl Enabled: TRUE User Groups: smime_users_group ------------------------- Number of members added 1 -------------------------
Adicionar o perfil do certificado ao CA ACL:
$ ipa caacl-add-profile smime_acl --certprofile smime ACL name: smime_acl Enabled: TRUE Profiles: smime User Groups: smime_users_group ------------------------- Number of members added 1 -------------------------
Etapas de verificação
Veja os detalhes da ACL CA que você criou:
$ ipa caacl-show smime_acl ACL name: smime_acl Enabled: TRUE Profiles: smime User Groups: smime_users_group ...
Recursos adicionais
-
Consulte a página
ipa
man page. -
Para mais detalhes sobre o comando
ipa caacl
, consulte o comandoipa help caacl
.