搜索

第 56 章 配置基于主机的访问控制规则

download PDF

您可以使用基于主机的访问控制(HBAC)规则来管理身份管理(IdM)域中的访问控制。HBAC 规则定义哪些用户或用户组可以使用服务组中的哪些服务或服务访问指定的主机或主机组。例如,您可以使用 HBAC 规则来实现以下目标:

  • 将您域中对指定系统的访问权限限制为特定用户组的成员。
  • 仅允许使用特定的服务来访问域中的系统。

默认情况下,使用名为 allow_all 的默认 HBAC 规则配置 IdM,该规则允许用户通过整个 IdM 域中的每个相关服务对每个主机进行通用访问。

您可以通过将默认的 allow_all 规则替换为您自己的一组 HBAC 规则来微调对不同主机的访问。对于集中式和简化的访问控制管理,您可以将 HBAC 规则应用到用户组、主机组或服务组,而不是单个用户、主机或服务。

56.1. 使用 WebUI 在 IdM 域中配置 HBAC 规则

要为基于主机的访问控制配置域,请完成以下步骤:

注意

在创建自定义 HBAC 规则前不要禁用 allow_all 规则,因为这样做了,任何用户将无法访问任何主机。

56.1.1. 在 IdM WebUI 中创建 HBAC 规则

要使用 IdM Web UI 为基于主机的访问控制配置域,请按照以下步骤操作。出于本示例的目的,流程演示了如何授予单个用户 sysadmin 使用任何服务访问域中的所有系统。

注意

IdM 将用户的主组存储为 gidNumber 属性的数字值,而不是到 IdM 组对象的链接。因此,HBAC 规则只能引用用户的补充组,而不是其主组。

先决条件

  • 用户 sysadmin 在 IdM 中存在。

流程

  1. 选择 Policy>Host-Based Access Control>HBAC Rules
  2. Add 开始添加新规则。
  3. 输入规则的名称,然后点 Add and Edit 打开 HBAC 规则配置页面。
  4. Who 区域中,选择 Specified Users and Groups。然后点 Add 添加用户或组。
  5. Available 用户列表中选择 sysadmin 用户,点击 > 进入到 Prospective 用户列表,然后点击 Add
  6. Accessing 区域中,选择 Any Host 来将 HBAC 规则应用到所有主机。
  7. Via Service 区域中,选择 Any Service 来将 HBAC 规则应用到所有服务。

    注意

    默认情况下,只为 HBAC 规则配置最常见的服务和服务组。

    • 要显示当前可用的服务的列表,请选择 Policy>Host-Based Access Control>HBAC Services
    • 要显示当前可用的服务组的列表,请选择 Policy>Host-Based Access Control>HBAC Service Groups

    要添加更多服务和服务组,请参阅 为自定义 HBAC 服务添加 HBAC 服务条目添加 HBAC 服务组

  8. 要保存您在 HBAC rule 配置页面上所做的任何更改,请点击页面顶部的 Save

56.1.2. 在 IdM WebUI 中测试 HBAC 规则

IdM 允许您使用模拟场景测试各种情况下的 HBAC 配置。执行这些模拟测试,您可以在生产环境中部署 HBAC 规则前发现错误配置问题或安全风险。

重要

在生产环境中开始使用它们之前,请始终测试自定义 HBAC 规则。

请注意,IdM 不测试 HBAC 规则对可信活动目录(AD)用户的影响。因为 IdM LDAP 目录不存储 AD 数据,所以当模拟 HBAC 场景时,IdM 无法解析 AD 用户的组成员资格。

流程

  1. 选择 Policy>Host-Based Access Control>HBAC Test
  2. Who 窗口中,指定您要在其下执行测试的用户,然后点 Next
  3. Accessing 窗口中,指定用户将尝试访问的主机,然后单击 Next
  4. Via Service 窗口上,指定用户将尝试使用的服务,然后单击 Next
  5. Rules 窗口中,选择您要测试的 HBAC 规则,然后点 Next。如果您没有选择任何规则,则会测试所有规则。

    选择 Include Enabled 来针对状态为 Enabled 的所有规则运行测试。选择 Include Disabled 来针对状态为 Disabled 的所有规则运行测试。要查看并更改 HBAC 规则的状态,请选择 Policy>Host-Based Access Control>HBAC Rules

    重要

    如果对多个规则运行测试,如果至少一个所选规则允许访问,则成功通过。

  6. Run Test 窗口上,单击 Run Test
  7. 查看测试结果:

    • 如果您看到 ACCESS DENIED,则用户在测试中没有授予访问权限。
    • 如果您看到 ACCESS GRANTED,该用户可以成功访问主机。

    默认情况下,IdM 在显示测试结果时会列出所有经过测试的 HBAC 规则。

    • 选择 Matched 以显示允许成功访问的规则。
    • 选择 Unmatched 来显示阻止访问的规则。

56.1.3. 在 IdM WebUI 中禁用 HBAC 规则

您可以禁用 HBAC 规则,但它只停用该规则,不会删除它。如果禁用了一个 HBAC 规则,您可以稍后重新启用它。

注意

当您首次配置自定义 HBAC 规则时,禁用 HBAC 规则很有用。要确保新配置没有被默认的 allow_all HBAC 规则覆盖,您必须禁用 allow_all

流程

  1. 选择 Policy>Host-Based Access Control>HBAC Rules
  2. 选择您要禁用的 HBAC 规则。
  3. 单击 Disable
  4. OK 以确认您要禁用所选的 HBAC 规则。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.