红帽全球峰会第 19 章 删除 Bootstrap 用户
重要
在删除 bootstrap 用户前,创建一个实际的 PKI 管理用户,如 第 18 章 创建角色用户 所述。
要删除 bootstrap 用户,请按照 Red Hat Certificate System Administration Guide 中的 Deleting a Certificate System User 部分的步骤进行操作。
19.1. 禁用多角色支持
默认情况下,用户可以同时属于多个子系统组,允许用户充当多个角色。例如,John Smith 可以同时属于代理和管理员组。但是,对于高度安全的环境,应该限制子系统角色,以便用户只能属于一个角色。这可以通过在实例的配置中禁用 multirole 属性来实现。
对于所有子系统:
停止服务器:
# systemctl stop pki-tomcatd@instance_name.serviceOR (如果使用
nuxwdog watchdog)# systemctl stop pki-tomcatd-nuxwdog@instance_name.service打开
CS.cfg文件:# vim /var/lib/pki/ instance_name/ca/conf/CS.cfg-
将
multiroles.enable参数值从true更改为false。 在证书系统中添加或编辑受多角色设置影响的默认角色列表。如果禁用了多角色,并且用户属于
multiroles.false.groupEnforceList参数中列出的角色之一,则无法将用户添加到列表中任何其他角色的任何组中。multiroles.false.groupEnforceList=Administrators,Auditors,Trusted Managers,Certificate Manager Agents,Registration Manager Agents,Key Recovery Authority Agents,Online Certificate Status Manager Agents,Token Key Service Manager Agents,Enterprise CA Administrators,Enterprise KRA Adminstrators,Enterprise OCSP Administrators,Enterprise TKS Administrators,Enterprise TPS Administrators,Security Domain Administrators,Subsystem Group
重启服务器:
systemctl start pki-tomcatd@instance_name.serviceOR (如果使用
nuxwdog watchdog)# systemctl start pki-tomcatd-nuxwdog@instance_name.service
