15.8. 运行 self-tests

登录到控制台。

pkiconsole https://server.example.com:admin_port/subsystem_type

选择左侧窗格中的子系统名称。

点 Run。

为子系统配置的自助tests 将运行。如果有任何关键的自助限制失败，服务器将停止。

停止该实例。

# pki-server stop instance_name

将实例的目录和文件的组可读性设置为 pkiadmin 组。

# setfacl -R -L -m g:pkiadmin:r,d:g:pkiadmin:r /var/lib/pki/instance_name

在所有目录中应用执行(x) ACL 权限：

# find -L /var/lib/pki/instance_name -type d -exec setfacl -L -n -m g:pkiadmin:rx,d:g:pkiadmin:rx {} \;

从实例的 signedAudit/ 目录及其关联的文件中删除 pkiadmin 组的组可读性：

# setfacl -R -L -x g:pkiadmin,d:g:pkiadmin /var/lib/pki/ instance_name/logs/signedAudit

为实例的 signedAudit/ 目录及其关联的文件设置 pkiaudit 组的组可读性：

# setfacl -R -L -m g:pkiaudit:r,d:g:pkiaudit:r /var/lib/pki/ instance_name/logs/signedAudit

对 signedAudit/ 目录及其所有子目录重新应用执行(x) ACL权限：

# find -L /var/lib/pki/ instance_name/logs/signedAudit -type d -exec setfacl -L -n -m g:pkiaudit:rx,d:g:pkiaudit:rx {} \;

启动实例。

pki-server start instance_name

使用 getfacl 命令显示当前的 ACL 设置，以确认文件访问控制已被正确应用：

# getfacl /var/lib/pki/instance_name /var/lib/pki/ instance_name/subsystem_type/logs/signedAudit/
getfacl: Removing leading '/' from absolute path names
# file: var/lib/pki/instance_name
# owner: pkiuser
# group: pkiuser
user::rwx
group::rwx
group:pkiadmin:r-x
mask::rwx
other::r-x
default:user::rwx
default:group::rwx
default:group:pkiadmin:r-x
default:mask::rwx
default:other::r-x

# file: var/lib/pki/ instance_name/logs/signedAudit
# owner: pkiuser
# group: pkiaudit
user::rwx
group::rwx
group:pkiaudit:r-x
mask::rwx
other::---
default:user::rwx
default:group::rwx
default:group:pkiaudit:r-x
default:mask::rwx
default:other::---