第 31 章 配置基于主机的访问控制
本章论述了身份管理(IdM)中 基于主机的访问控制 (HBAC),并解释如何使用 HBAC 管理 IdM 域中的访问控制。
31.1. IdM 中基于主机的访问控制如何工作
基于主机的访问控制通过使用指定的服务(或服务组中的服务)定义哪些用户(或用户组)可以访问指定的主机(或主机组)。例如,您可以:
- 将您域中对指定系统的访问权限限制为特定用户组的成员。
- 仅允许使用特定的服务访问域中的系统。
管理员使用一组允许名为 HBAC 规则 的规则来配置基于主机的访问控制。默认情况下,IdM 配置成一个名为
allow_all
的默认 HBAC 规则,该规则允许在整个 IdM 域中进行通用访问。
将 HBAC 规则应用到组
要集中和简化访问控制管理,您可以将 HBAC 规则应用到整个用户、主机或服务组,而不是单个用户、主机或服务。
图 31.1. 主机组和基于主机的访问控制
将 HBAC 规则应用到组时,请考虑 使用自动成员规则。请参阅 第 13.6 节 “为用户和主机定义自动组成员资格”。