Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 18 章 创建角色用户

第 2.6.6.1 节 “默认管理角色” 所述,在安装过程中创建了一个 bootstrap 用户。安装后,创建真实用户并为其分配正确的系统权限。为满足合规性,每个用户都必须仅是一个角色(group)的成员。

本章介绍了如何进行:

  • 在操作系统中创建证书系统管理用户
  • 在证书系统中创建 PKI 角色

18.1. 在操作系统上创建 PKI 管理用户

本节适用于管理角色用户。代理和审核员角色用户,请参阅 第 18.2 节 “在证书系统中创建 PKI 角色用户”

通常,证书系统中的管理员、代理和审核员可以使用客户端应用程序(如命令行实用程序、Java 控制台和浏览器)远程管理证书系统实例。对于大多数 CS 管理任务,证书系统角色用户不需要登录实例运行的主机。例如,允许审核员角色用户远程检索签名的审计日志进行验证,代理角色用户可以使用代理接口批准证书颁发,而管理员角色用户可以使用命令行实用程序来配置配置集。

然而,在某些情况下,证书系统管理员需要登录主机系统直接修改配置文件,或者启动或停止证书系统实例。因此,在操作系统中,管理员角色用户应该是允许更改配置文件的人员,并读取与 Red Hat Certificate System 相关的各种日志。

注意

不要允许证书系统管理员或审核员以外的任何人访问审计日志文件。

  1. 在操作系统上创建 pkiadmin 组。 

    # groupadd -r pkiadmin

  2. pkiuser 添加到 pkiadmin 组中: 

    # usermod -a -G pkiadmin pkiuser

  3. 在操作系统上创建用户。例如,创建 jsmith 帐户: 

    # useradd -g pkiadmin -d /home/jsmith -s /bin/bash -c "Red Hat Certificate System Administrator John Smith" -m jsmith

    详情请查看 useradd (8) 手册页。

  4. 将用户 jsmith 添加到 pkiadmin 组中: 

    # usermod -a -G pkiadmin jsmith

    详情请查看 usermod (8) 手册页。

    如果您使用 nCipher 硬件安全模块(HSM),请将管理 HSM 设备的用户添加到 nfast 组中: 

    # usermod -a -G nfast pkiuser
# usermod -a -G nfast jsmith

  5. 添加正确的 sudo 规则,以允许 pkiadmin 组到证书系统和其他系统服务。

    为了简化管理和安全性,可以配置证书系统和目录服务器进程,以便 PKI 管理员(而不是只有 root)可以启动和停止服务。

    在设置子系统时,推荐的选项是使用 pkiadmin 系统组。(详细信息为 第 6.6 节 “证书系统操作系统用户和组”)。然后,所有将成为证书系统管理员的操作系统用户都会被添加到此组中。如果存在这个 pkiadmin 系统组,则可以授予执行某些任务的 sudo 访问权限。

    1. 编辑 /etc/sudoers 文件;在 Red Hat Enterprise Linux 中,可以使用 visudo 命令完成此操作: 

      # visudo

    2. 根据机器上安装的内容,为 Directory 服务器添加一行、{ADS}、PKI 管理工具和每个 PKI 子系统实例,为 pkiadmin 组授予 sudo 权限: 

      # For Directory Server services
%pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv.target
%pkiadmin ALL = PASSWD: /usr/bin/systemctl * dirsrv-admin.service

# For PKI instance management
%pkiadmin ALL = PASSWD: /usr/sbin/pkispawn *
%pkiadmin ALL = PASSWD: /usr/sbin/pkidestroy *

# For PKI instance services
%pkiadmin ALL = PASSWD: /usr/bin/systemctl * pki-tomcatd@instance_name.service
    重要

    确保为机器上的每个证书系统、目录服务器和 {ADS} 设置 sudo 权限,并且仅对 机器上的那些实例设置 sudo 权限。机器上可能有多个相同子系统类型的实例,或者没有子系统类型的实例。它取决于部署。

  6. 将以下文件中的组设置为 pkiadmin

    # chgrp pkiadmin /etc/pki/ instance_name/server.xml
# chgrp -R pkiadmin /etc/pki/ instance_name/alias
# chgrp pkiadmin /etc/pki/ instance_name/subsystem/CS.cfg
# chgrp pkiadmin /var/log/pki/ instance_name/subsystem/debug

在操作系统中创建管理用户后,请遵循 第 18.2 节 “在证书系统中创建 PKI 角色用户”

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.