红帽全球峰会49.2. 使用 CLI 在 IdM 域中配置 HBAC 规则
要为基于主机的访问控制配置域,请完成以下步骤:
- 在 IdM CLI 中创建 HBAC 规则。
- 测试新的 HBAC 规则。
-
禁用默认的
allow_allHBAC 规则。
在创建自定义 HBAC 规则前,不要禁用 allow_all 规则。如果您在创建自定义规则前禁用它,则拒绝所有用户对所有主机的访问。
49.2.1. 在 IdM CLI 中创建 HBAC 规则
要使用 IdM CLI 为基于主机的访问控制配置域,请按照以下步骤操作。出于本例目的,流程展示了如何授予单个用户 sysadmin 使用任何服务访问域中的所有系统。
IdM 将用户的主组存储为 gidNumber 属性的数字值,而不是到 IdM 组对象的链接。因此,HBAC 规则只能引用用户的补充组,而不是其主组。
先决条件
- 用户 sysadmin 在 IdM 中存在。
流程
使用
ipa hbacrule-add命令添加规则。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要将 HBAC 规则只应用到 sysadmin 用户,请使用
ipa hbacrule-add-user命令。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意要将 HBAC 规则应用到所有用户,请使用
ipa hbacrule-mod命令,并指定所有用户类别--usercat=all。请注意,如果 HBAC 规则与单个用户或组关联,则ipa hbacrule-mod --usercat=all会失败。在这种情况下,使用ipa hbacrule-remove-user命令删除用户和组。指定目标主机。要将 HBAC 规则应用到所有主机,请使用
ipa hbacrule-mod命令,并指定所有主机类别:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意如果 HBAC 规则与单个主机或组关联,则
ipa hbacrule-mod --hostcat=all会失败。在这种情况下,使用ipa hbacrule-remove-host命令删除主机和组。指定目标 HBAC 服务。要将 HBAC 规则应用到所有服务,请使用
ipa hbacrule-mod命令,并指定所有服务类别:Copy to Clipboard Copied! Toggle word wrap Toggle overflow
如果 HBAC 规则与单个服务或组关联,则 ipa hbacrule-mod --servicecat=all 会失败。在这种情况下,使用 ipa hbacrule-remove-service 命令删除服务和组。
验证
验证 HBAC 规则是否已正确添加。
-
使用
ipa hbacrule-find命令验证 HBAC 规则是否在 IdM 中存在。 -
使用
ipa hbacrule-show命令验证 HBAC 规则的属性。
-
使用
49.2.2. 在 IdM CLI 中测试 HBAC 规则
IdM 允许您使用模拟场景在各种情况下测试 HBAC 配置。执行这些模拟测试,您可以在在生产环境中部署 HBAC 规则之前发现错误配置问题或安全风险。
在生产环境中开始使用它们只前,请始终测试自定义 HBAC 规则。
请注意,IdM 不测试 HBAC 规则对可信活动目录(AD)用户的影响。因为 IdM LDAP 目录不存储 AD 数据,所以在模拟 HBAC 场景时,IdM 无法解析 AD 用户的组成员资格。
流程
使用
ipa hbactest命令测试您的 HBAC 规则。您有选择测试单个 HBAC 规则或多个 HBAC 规则的选项。要测试单个 HBAC 规则:
ipa hbactest --user=sysadmin --host=server.idm.example.com --service=sudo --rules=rule_name
$ ipa hbactest --user=sysadmin --host=server.idm.example.com --service=sudo --rules=rule_name --------------------- Access granted: True --------------------- Matched rules: rule_nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要测试多个 HBAC 规则:
添加第二个规则,仅允许 sysadmin 在所有主机上使用
ssh:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行以下命令来测试多个 HBAC 规则:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在输出中,Matched rules 列出允许成功访问的规则,而 Not matched 列出阻止访问的规则。请注意,如果您没有指定
--rules选项,则应用所有规则。使用--rules可独立测试每个规则。
49.2.3. 在 IdM CLI 中禁用 HBAC 规则
您可以禁用 HBAC 规则,但它只禁用该规则,且不删除它。如果禁用 HBAC 规则,您可以以后重新启用它。
当您首次配置自定义 HBAC 规则时,禁用 HBAC 规则很有用。要确保新配置没有被默认的 allow_all HBAC 规则覆盖,您必须禁用 allow_all。
流程
使用
ipa hbacrule-disable命令。例如,要禁用allow_all规则:ipa hbacrule-disable allow_all
$ ipa hbacrule-disable allow_all ------------------------------ Disabled HBAC rule "allow_all" ------------------------------Copy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}