红帽全球峰会D.3. 特定于证书的 ACL
本节涵盖了为证书管理器特别设置的默认访问控制配置属性。CA ACL 配置还包括 第 D.2 节 “常见 ACL” 中列出的所有常见 ACL。
为每个 CA 接口(管理控制台和代理和终端服务页面)设置了访问控制规则,以及用于列出和下载证书等常见操作。
将证书管理器的 OCSP 配置的访问权限限制为企业 OCSP 管理员组的成员。
allow (modify,read) group="Enterprise OCSP Administrators"
allow (modify,read) group="Enterprise OCSP Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 修改 | 修改 OCSP 配置、OCSP 存储配置和默认 OCSP 存储。 | Allow | Enterprise OCSP 管理员 |
| 读取 | 阅读 OCSP 配置。 | Allow | Enterprise OCSP 管理员 |
控制代理服务界面中证书的基本管理操作,包括导入和撤销证书。默认配置是:
allow (import,unrevoke,revoke,read) group="Certificate Manager Agents"
allow (import,unrevoke,revoke,read) group="Certificate Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| import | 按序列号检索证书。 | Allow | 证书管理器代理 |
| unrevoke | 更改证书的状态与撤销。 | Allow | 证书管理器代理 |
| 撤销 | 将证书的状态更改为撤销。 | Allow | 证书管理器代理 |
| 读取 | 根据请求 ID 检索证书,并根据请求 ID 或序列号显示证书详细信息。 | Allow | 证书管理器代理 |
控制通过代理服务接口列出或撤销证书的操作。默认配置是:
allow (revoke,list) group="Certificate Manager Agents"|| group="Registration Manager Agents"
allow (revoke,list) group="Certificate Manager Agents"|| group="Registration Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | ||
|---|---|---|---|---|---|
| 撤销 | 吊销证书或批准证书撤销请求。从 TPS 吊销证书。提示用户输入有关撤销请求的额外数据。 | Allow |
| ||
| list | 根据搜索列出证书。根据一系列序列号检索大量证书的详细信息。 | Allow |
|
控制证书管理器的常规配置的操作。默认配置是:
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | |||
|---|---|---|---|---|---|---|
| 读取 | 查看 CRL 插件信息、常规 CA 配置、CA 连接器配置、CRL 发布点配置、CRL 配置集配置、请求通知配置、撤销通知配置、队列通知配置和 CRL 扩展配置。列出 CRL 扩展配置和 CRL 发布点配置。 | Allow |
| |||
| 修改 | 添加和删除 CRL 发布点。修改常规 CA 设置、CA 连接器配置、CRL 发布点配置、CRL 配置、请求通知配置、撤销通知配置、队列通知配置和 CRL 扩展配置的请求。 | Allow | 管理员 |
控制通过特殊连接器向 CA 提交请求的操作。默认配置是:
allow (submit) group="Trusted Managers"
allow (submit) group="Trusted Managers"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 提交 | 提交来自远程可信管理器的请求。 | Allow | 可信管理器 |
控制对连接器信息的访问,以管理 CA 和 KRA 之间的可信关系。这些信任关系是特殊的配置,允许 CA 和 KRA 自动连接来执行密钥归档和恢复操作。这些信任关系通过特殊的连接器插件进行配置。
allow (read) group="Enterprise KRA Administrators";allow (modify) group="Enterprise KRA Administrators" || group="Subsystem Group"
allow (read) group="Enterprise KRA Administrators";allow (modify) group="Enterprise KRA Administrators" || group="Subsystem Group"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | ||
|---|---|---|---|---|---|
| 读取 | 读取连接器插件设置。 | Allow | 企业 KRA 管理员 | ||
| 修改 | 修改连接器插件设置。 | Allow |
|
控制通过代理服务接口读取或更新 CRL 的访问。默认设置为:
allow (read,update) group="Certificate Manager Agents"
allow (read,update) group="Certificate Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 显示 CRL 并获取有关 CA CRL 处理的详细信息。 | Allow | 证书管理器代理 |
| update | 更新 CRL。 | Allow | 证书管理器代理 |
控制对用于发布证书和 CRL 的 LDAP 目录的访问。
allow (update) group="Certificate Manager Agents"
allow (update) group="Certificate Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| update | 将 CA 证书、CRL 和用户证书发布到 LDAP 目录。 | Allow | 证书管理器代理 |
控制对内部数据库的访问,以便为证书管理器实例添加用户和组。
allow (modify,read) group="Administrators"
allow (modify,read) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 修改 | 为实例创建、编辑或删除用户和组条目。在属性中添加或修改用户证书 | Allow | 管理员 |
| 读取 | 查看实例的用户和组条目。 | Allow | 管理员 |
通过代理服务接口控制访问和读取 OCSP 信息的能力,如用量统计。
allow (read) group="Certificate Manager Agents"
allow (read) group="Certificate Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 检索 OCSP 用量统计。 | Allow | 证书管理器代理 |
在代理服务页面中控制对证书配置文件配置的访问。
allow (read,approve) group="Certificate Manager Agents"
allow (read,approve) group="Certificate Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 查看证书配置文件的详情。 | Allow | 证书管理器代理 |
| 批准 | 批准并启用证书配置文件。 | Allow | 证书管理器代理 |
控制在代理服务接口中列出证书配置文件的访问。
allow (list) group="Certificate Manager Agents"
allow (list) group="Certificate Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| list | 列出证书配置文件。 | Allow | 证书管理器代理 |
定义哪些组或用户可以为实例创建代理用户。默认配置是:
allow (modify,read) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"
allow (modify,read) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 修改 | 注册新代理。 | Allow | 企业管理员 |
| 读取 | 阅读现有的代理信息。 | Allow | 企业管理员 |
控制注册请求是如何处理和分配的。默认设置为:
allow (submit) user="anybody";allow (read,execute,assign,unassign) group="Certificate Manager Agents"
allow (submit) user="anybody";allow (read,execute,assign,unassign) group="Certificate Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 查看注册请求。 | Allow | 证书管理器代理 |
| 执行 | 修改请求的批准状态。 | Allow | 证书管理器代理 |
| 提交 | Sumbit 一个请求。 | Allow | anybody |
| 分配 | 为证书管理器代理分配请求。 | Allow | 证书管理器代理 |
| 取消分配 | 更改请求的分配。 | Allow | 证书管理器代理 |
控制基于证书配置文件的请求处理。默认设置为:
allow (approve,read) group="Certificate Manager Agents"
allow (approve,read) group="Certificate Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 批准 | 修改基于证书配置文件的证书请求的批准状态。 | Allow | 证书管理器代理 |
| 读取 | 查看基于证书配置文件的证书请求。 | Allow | 证书管理器代理 |
控制可以在代理服务界面中列出证书请求的人员。
allow (list) group="Certificate Manager Agents"|| group="Registration Manager Agents"
allow (list) group="Certificate Manager Agents"|| group="Registration Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | ||
|---|---|---|---|---|---|
| list | 检索一系列请求的详细信息,并使用复杂的过滤器搜索证书。 | Allow |
|
控制谁可以查看证书管理器实例的统计信息。
allow (read) group="Certificate Manager Agents"
allow (read) group="Certificate Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 查看统计信息。 | Allow | 证书管理器代理 |
控制在终端实体页面中可以访问 CA 证书链的人员。
allow (download,read) user="anybody"
allow (download,read) user="anybody"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 下载 | 下载 CA 的证书链。 | Allow | 任何人 |
| 读取 | 查看 CA 的证书链。 | Allow | 任何人 |
通过终端实体页面控制谁可以访问证书,适用于导入或撤销证书等大多数操作。
allow (renew,revoke,read,import) user="anybody"
allow (renew,revoke,read,import) user="anybody"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 续订 | 提交请求以续订现有证书。 | Allow | 任何人 |
| 撤销 | 提交用户证书的撤销请求。 | Allow | 任何人 |
| 读取 | 根据证书序列号或请求 ID 检索和查看证书。 | Allow | 任何人 |
| import | 根据序列号导入证书。 | Allow | 任何人 |
控制可以在终端实体页面中列出撤销的证书或提交撤销请求。
allow (revoke,list) user="anybody"
allow (revoke,list) user="anybody"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 撤销 | 提交要撤销的证书列表。 | Allow |
要撤销的证书主题必须与提供的证书匹配才能向 CA 进行身份验证。
|
| list | 搜索与指定条件匹配的证书。 | Allow | 任何人 |
通过终端实体页面控制对 CRL 的访问。
allow (read,add) user="anybody"
allow (read,add) user="anybody"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 检索并查看证书撤销列表。 | Allow | 任何人 |
| add | 在 OCSP 服务器中添加 CRL。 | Allow | 任何人 |
控制对终端实体页面中证书配置文件的一些访问,包括谁可以查看配置文件的详情或通过配置文件提交请求。
allow (submit,read) user="anybody"
allow (submit,read) user="anybody"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 提交 | 通过证书配置文件提交证书请求。 | Allow | 任何人 |
| 读取 | 显示证书配置文件的详细信息。 | Allow | 任何人 |
控制在终端实体页面中列出活跃证书配置文件的人员。
allow (list) user="anybody"
allow (list) user="anybody"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| list | 列出证书配置文件。 | Allow | 任何人 |
根据客户端提交 OCSP 请求的 IP 地址控制访问。
allow (submit) ipaddress=".*"
allow (submit) ipaddress=".*"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 提交 | 提交 OCSP 请求。 | Allow | 所有 IP 地址 |
控制用户可以在终端实体页面中提交证书撤销请求。
allow (submit) user="anybody"
allow (submit) user="anybody"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 提交 | 提交用于吊销证书的请求。 | Allow | 任何人 |
控制在终端实体页面中查看证书请求的状态。
allow (read) user="anybody"
allow (read) user="anybody"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 检索针对该请求发布的任何证书的请求和序列号的状态。 | Allow | 任何人 |
控制可以为证书管理器配置作业的人员。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | |||
|---|---|---|---|---|---|---|
| 读取 | 查看基本作业设置、作业实例设置和作业插件设置。列出作业插件和作业实例。 | Allow |
| |||
| 修改 | 添加和删除作业插件和作业实例。修改作业插件和作业实例。 | Allow | 管理员 |
控制对证书配置文件配置的访问。默认设置为:
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | |||
|---|---|---|---|---|---|---|
| 读取 | 查看证书配置文件默认设置和约束、输入、输出配置、输出配置、默认配置、策略限制配置和证书配置文件实例配置。列出证书配置文件插件和证书配置文件实例。 | Allow |
| |||
| 修改 | 添加、修改和删除证书配置文件默认值和约束、输入、输出和证书配置文件实例。添加和修改默认策略约束配置。 | Allow | 管理员 |
控制谁可以查看证书管理器的发布配置。默认配置是:
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";allow (modify) group="Administrators"
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";allow (modify) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | |||
|---|---|---|---|---|---|---|
| 读取 | 查看 LDAP 服务器目的地信息、发布程序插件配置、发布程序实例配置、映射程序插件配置、映射程序实例配置、规则插件配置和规则实例配置。列出发布程序插件和实例、规则插件和实例,以及映射器插件和实例。 | Allow |
| |||
| 修改 | 添加和删除发布程序插件、发布程序实例、映射程序插件、映射程序实例、规则插件和规则实例。修改发布程序实例、映射器实例、规则实例和 LDAP 服务器目的地信息。 | Allow | 管理员 |
控制域主机证书管理器在 registry 中维护的安全域信息的访问。安全域配置在配置期间由子系统实例直接访问和修改,因此必须始终允许适当的访问子系统,或者配置可能会失败。
allow (read) user="anybody";allow (modify) group="Subsystem Group"
allow (read) user="anybody";allow (modify) group="Subsystem Group"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | ||
|---|---|---|---|---|---|
| 读取 | 查看安全域配置。 | Allow | anybody | ||
| 修改 | 通过更改实例信息并添加和删除实例来修改安全域配置。 | Allow |
|
