Capítulo 22. Gerenciando controles de acesso baseados em funções usando a IDM Web UI
Este capítulo introduz o controle de acesso baseado em funções no Gerenciamento de Identidade (IdM) e descreve as seguintes operações na interface web (Web UI):
22.1. Controle de acesso baseado no papel na IdM
O controle de acesso baseado no papel (RBAC) na IdM concede um tipo muito diferente de autoridade aos usuários em comparação com o auto-serviço e os controles de acesso das delegações.
O controle de acesso baseado no papel é composto de três partes:
- Permissions conceder o direito de realizar uma tarefa específica, como adicionar ou excluir usuários, modificar um grupo, permitir o acesso de leitura, etc.
- Privileges combinar permissões, por exemplo, todas as permissões necessárias para adicionar um novo usuário.
- Roles concede um conjunto de privilégios aos usuários, grupos de usuários, anfitriões ou grupos anfitriões.
22.1.1. Permissões na IdM
As permissões são a unidade de nível mais baixo de controle de acesso baseado em funções, elas definem operações junto com as entradas LDAP às quais essas operações se aplicam. Em comparação com os blocos de construção, as permissões podem ser atribuídas a tantos privilégios quantos forem necessários.
Um ou mais rights definem quais operações são permitidas:
-
write
-
read
-
search
-
compare
-
add
-
delete
-
all
Estas operações aplicam-se a três operações básicas targets:
-
subtree
: um nome de domínio (DN); a sub-árvore sob este DN -
target filter
: um filtro LDAP -
target
: DN com possíveis wildcards para especificar as entradas
Além disso, as seguintes opções de conveniência definem o(s) atributo(s) correspondente(s):
-
type
: um tipo de objeto (usuário, grupo, etc.); conjuntossubtree
etarget filter
-
memberof
: membros de um grupo; estabelece umtarget filter
-
targetgroup
: concede acesso para modificar um grupo específico (como a concessão dos direitos de administrar a adesão ao grupo); estabelece umtarget
Com as permissões da IdM, você pode controlar quais usuários têm acesso a quais objetos e até quais atributos desses objetos. IdM permite que você permita ou bloqueie atributos individuais ou altere toda a visibilidade de uma função IdM específica, como usuários, grupos ou sudo, para todos os usuários anônimos, todos os usuários autenticados, ou apenas um certo grupo de usuários privilegiados.
Por exemplo, a flexibilidade desta abordagem de permissões é útil para um administrador que deseja limitar o acesso de usuários ou grupos apenas às seções específicas que estes usuários ou grupos precisam acessar e tornar as outras seções completamente ocultas para eles.
Uma permissão não pode conter outras permissões.
22.1.2. Permissões gerenciadas por padrão
As permissões gerenciadas são permissões que vêm por padrão com a IdM. Elas se comportam como outras permissões criadas pelo usuário, com as seguintes diferenças:
- Não é possível apagá-los ou modificar seu nome, localização e atributos de destino.
Eles têm três conjuntos de atributos:
- Default, o usuário não pode modificá-los, pois eles são gerenciados pela IdM
- Included atributos, que são atributos adicionais adicionados pelo usuário
- Excluded atributos, que são atributos removidos pelo usuário
Uma permissão administrada se aplica a todos os atributos que aparecem no conjunto de atributos padrão e incluídos, mas não no conjunto excluído.
Embora você não possa excluir uma permissão administrada, a definição de seu tipo de vinculação à permissão e a remoção da permissão administrada de todos os privilégios efetivamente a desativa.
Os nomes de todas as permissões gerenciadas começam com System:
, por exemplo System: Add Sudo rule
ou System: Modify Services
. As versões anteriores do IdM usavam um esquema diferente para as permissões padrão. Por exemplo, o usuário não podia excluí-las e só podia atribuí-las a privilégios. A maioria destas permissões padrão foi transformada em permissões gerenciadas, entretanto, as seguintes permissões ainda utilizam o esquema anterior:
- Acrescentar a Tarefa de Associação Automember Rebuild
- Adicionar subentendimentos de configuração
- Adicionar Acordos de Replicação
- Retirada de certificado de retenção
- Obter o status dos Certificados da CA
- Ler a gama de DNA
- Modificar a faixa de DNA
- Leia a configuração dos gerentes do PassSync
- Modificar a configuração dos gerentes do PassSync
- Ler Acordos de Replicação
- Modificar os Acordos de Replicação
- Remover Acordos de Replicação
- Leia Configuração do banco de dados LDBM
- Solicitar Certificado
- Solicitar Certificado ignorando as ACLs CA
- Solicitar certificados de um anfitrião diferente
- Recuperar Certificados do CA
- Certificado de Revogação
- Escreva a configuração IPA
Se você tentar modificar uma permissão gerenciada da linha de comando, o sistema não permite que você altere os atributos que você não pode modificar, o comando falha. Se você tentar modificar uma permissão gerenciada da Web UI, os atributos que você não pode modificar são desativados.
22.1.3. Privilégios na IdM
Um privilégio é um grupo de permissões aplicáveis a uma função.
Enquanto uma permissão fornece os direitos de fazer uma única operação, existem certas tarefas da IdM que requerem múltiplas permissões para ter sucesso. Portanto, um privilégio combina as diferentes permissões necessárias para realizar uma tarefa específica.
Por exemplo, a adição de um usuário requer as seguintes permissões:
- Criando uma nova entrada de usuário
- Redefinição de uma senha de usuário
- Adicionando o novo usuário ao grupo padrão de usuários IPA
A combinação destas três tarefas de baixo nível em uma tarefa de nível superior na forma de um privilégio chamado Add User facilita a gestão de papéis. Além de usuários e grupos de usuários, os privilégios também são atribuídos a hosts e grupos anfitriões, assim como a serviços de rede. Esta prática permite um controle de operações granulado fino por um conjunto de usuários em um conjunto de hosts que utilizam serviços de rede específicos.
Um privilégio não pode conter outros privilégios.
22.1.4. Papéis na IdM
Uma função é uma lista de privilégios que os usuários especificados para a função possuem.
Com efeito, as permissões concedem a capacidade de executar determinadas tarefas de baixo nível (criar uma entrada de usuário, adicionar uma entrada a um grupo, etc.), os privilégios combinam uma ou mais dessas permissões necessárias para uma tarefa de nível superior (como a criação de um novo usuário em um determinado grupo). As funções reúnem os privilégios conforme necessário: por exemplo, uma função de Administrador de Usuário seria capaz de adicionar, modificar e excluir usuários.
Os papéis são usados para classificar as ações permitidas. Eles não são usados como uma ferramenta para implementar a separação de privilégios ou para proteger contra a escalada de privilégios.
Os papéis não podem conter outros papéis.
22.1.5. Papéis pré-definidos na Gestão da Identidade
A Red Hat Identity Management oferece a seguinte gama de funções pré-definidas:
Papel | Privilégio | Descrição |
---|---|---|
Helpdesk | Modificar Usuários e Redefinir senhas, Modificar a adesão ao Grupo | Responsável pela execução de tarefas simples de administração de usuários |
Especialista em Segurança de TI | Netgroups Administrators, HBAC Administrator, Sudo Administrator | Responsável pelo gerenciamento da política de segurança, tais como controles de acesso baseados em host, regras sudo |
Especialista em TI | Administradores Host, Administradores do Grupo Host, Administradores de Serviços, Administradores Automount | Responsável pelo gerenciamento dos anfitriões |
Arquiteto de Segurança | Administrador de Delegação, Administrador de Replicação, Administrador de Configuração IPA, Administrador de Política de Senha | Responsável pela gestão do ambiente de Gerenciamento de Identidade, criando trusts, criando acordos de replicação |
Administrador do usuário | Administradores de Usuários, Administradores de Grupo, Administradores de Etapa de Usuários | Responsável pela criação de usuários e grupos |