红帽全球峰会D.4. 关键恢复授权的 ACL
本节介绍针对 KRA 的默认访问控制配置。KRA ACL 配置还包括 第 D.2 节 “常见 ACL” 中列出的所有常用 ACL。
为每个 KRA 接口(管理控制台和代理以及终端服务页面)以及终端操作(如列表和下载密钥等常见操作)设置了访问控制规则。
D.4.1. certServer.job.configuration
控制可以为 KRA 配置作业的人员。
allow (read) group="Administrators" || group="Key Recovery Authority Agents" || group="Auditors";allow (modify) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 查看基本作业设置、作业实例设置和作业插件设置。列出作业插件和作业实例。 | Allow |
|
| 修改 | 添加和删除作业插件和作业实例。修改作业插件和作业实例。 | Allow | 管理员 |
D.4.2. certServer.kra.certificate.transport
控制谁可以查看 KRA 的传输证书。
allow (read) user="anybody"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 查看 KRA 实例的传输证书。 | Allow | 任何人 |
D.4.3. certServer.kra.configuration
控制谁可以配置和管理 KRA 的设置。
allow (read) group="Administrators" || group="Auditors" || group="Key Recovery Authority Agents" || allow (modify) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 阅读所需的恢复代理批准数量。 | Allow |
|
| 修改 | 更改所需恢复代理批准的数量。 | Allow | 管理员 |
D.4.4. certServer.kra.connector
控制哪些实体可以通过 CA 上配置的特殊连接器提交请求以连接到 KRA。默认配置是:
allow (submit) group="Trusted Managers"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 提交 | 提交一个新的密钥归档请求(仅限非TMS)。 | Allow | 可信管理器 |
D.4.5. certServer.kra.GenerateKeyPair
控制可以将密钥恢复请求提交到 KRA。默认配置是:
allow (execute) group="Key Recovery Authority Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 执行 | 执行服务器端密钥生成(仅限TMS)。 | Allow | KRA 代理 |
D.4.6. certServer.kra.getTransportCert
控制可以将密钥恢复请求提交到 KRA。默认配置是:
allow (download) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 下载 | 检索 KRA 传输证书。 | Allow | 企业管理员 |
D.4.7. certServer.kra.group
控制对为 KRA 实例添加用户和组的内部数据库的访问。
allow (modify,read) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 修改 | 为实例创建、编辑或删除用户和组条目。 | Allow | 管理员 |
| 读取 | 查看实例的用户和组条目。 | Allow | * 管理员 |
D.4.8. certServer.kra.key
通过查看、恢复或下载密钥来控制谁可以访问密钥信息。默认配置是:
allow (read,recover,download) group="Key Recovery Authority Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 显示有关密钥归档记录的公钥信息。 | Allow | KRA 代理 |
| recover | 从数据库检索密钥信息,以执行恢复操作。 | Allow | KRA 代理 |
| 下载 | 通过代理服务页面下载密钥信息。 | Allow | KRA 代理 |
D.4.9. certServer.kra.keys
控制谁可以通过代理服务页面列出存档的密钥。
allow (list) group="Key Recovery Authority Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| list | 搜索并列出一系列存档的键。 | Allow | KRA 代理 |
D.4.10. certServer.kra.registerUser
定义哪些组或用户可以为实例创建代理用户。默认配置是:
allow (modify,read) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 修改 | 注册新用户。 | Allow | 企业管理员 |
| 读取 | 阅读现有用户信息。 | Allow | 企业管理员 |
D.4.11. certServer.kra.request
控制谁可以在代理服务接口中查看密钥归档和恢复请求。
allow (read) group="Key Recovery Authority Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 查看密钥存档或恢复请求。 | Allow | KRA 代理 |
D.4.12. certServer.kra.request.status
控制在终端实体页面中查看密钥恢复请求的状态。
allow (read) group="Key Recovery Authority Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 在代理服务页面中检索密钥恢复请求的状态。 | Allow | KRA 代理 |
D.4.13. certServer.kra.requests
控制可以在代理服务界面中列出密钥归档和恢复请求。
allow (list) group="Key Recovery Authority Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| list | 检索一系列密钥存档和恢复请求的详细信息。 | Allow | KRA 代理 |
D.4.14. certServer.kra.systemstatus
控制谁可以查看 KRA 实例的统计信息。
allow (read) group="Key Recovery Authority Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 查看统计信息。 | Allow | KRA 代理 |
D.4.15. certServer.kra.TokenKeyRecovery
控制可以将令牌的密钥恢复请求提交到 KRA。这是替换丢失令牌的常见请求。默认配置是:
allow (submit) group="Key Recovery Authority Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 提交 | 为令牌恢复提交或启动密钥恢复请求。 | Allow | KRA 代理 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}