第 10 章 为 IdM 用户定义访问控制


访问控制是一组安全功能,用于定义谁可以访问某些资源,如机器、服务或条目等,以及它们允许执行的操作类型。身份管理提供了多个访问控制区域,以便明确授予哪些访问类型以及授予谁。因此,身份管理区分了对域中资源的访问控制和对 IdM 配置本身的访问控制。
本章详细介绍了 IdM 服务器中用户对 IdM 服务器和其他 IdM 用户可用的不同内部访问控制机制。

10.1. IdM 条目的访问控制

访问控制定义了授予用户对其他用户或对象执行操作的权限或权限。
身份管理访问控制结构基于标准的 LDAP 访问控制。IdM 服务器中的访问是基于存储在后端目录服务器实例的 IdM 用户,它们允许访问其他 IdM 实体,也作为 LDAP 条目存储在目录服务器实例中。
访问控制指令(ACI)有三个部分:
actor
这是被授予执行操作权限的实体。在 LDAP 访问控制模型中,这称为 绑定规则,因为它定义了用户是 ,并可选择性地对绑定尝试进行其他限制,如限制尝试一天或特定机器。
目标
这将定义允许行动者对其执行操作的条目。
操作类型
操作类型 - 最后一个部分决定了用户被允许执行的操作类型。最常见的操作有 add、delete、write、read 和 search。在身份管理中,所有用户都会隐式授予 IdM 域中所有条目的读和搜索权限,对密码和 Kerberos 密钥等敏感属性的限制。匿名用户受到与安全性相关的配置的限制,如 sudo 规则和基于主机的访问控制。
当尝试任何操作时,IdM 客户端的第一个操作是发送用户凭证,作为 bind 操作的一部分。后端目录服务器检查这些用户凭证,然后检查用户帐户以查看用户是否有权限来执行所请求的操作。

10.1.1. 身份管理中的访问控制方法

要使访问控制规则简单且明确实现,身份管理会将访问控制定义分成三个类别:
自助服务规则
自助服务规则,定义用户可以根据自己的个人条目执行哪些操作。访问控制类型仅允许对条目内的属性进行写入权限;它不允许为条目本身添加或删除操作。
委派规则
委派规则,允许特定用户组对另一用户组中用户的特定属性执行写入(编辑)操作。与自助服务规则一样,这种形式的访问控制规则仅限于编辑特定属性的值;它不授予添加或删除整个条目或控制未指定属性的功能。
基于角色的访问控制
基于角色的访问控制,它会创建特殊的访问控制,然后对 IdM 域中的所有实体授予更广泛的权威。可以授予角色编辑、添加和删除权限,即可以授予对整个条目的完整控制权限,而不仅限于选择的属性。
一些角色已在身份管理中创建并可用。可以创建特殊角色来管理任何类型的条目,如主机、自动挂载配置、网络组、DNS 设置和 IdM 配置。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.