第 46 章 配置基于主机的访问控制规则
您可以使用基于主机的访问控制(HBAC)规则来管理身份管理(IdM)域中的访问控制。HBAC 规则定义哪些用户或用户组可以使用哪些服务或服务组中的哪些服务来访问指定的主机或主机组。例如,您可以使用 HBAC 规则实现以下目标:
- 将您域中对指定系统的访问权限限制到特定用户组的成员。
- 仅允许使用特定的服务来访问域中的系统。
默认情况下,IdM 是使用名为 allow_all
的默认 HBAC 规则配置的,该规则允许每个用户通过整个 IdM 域中的每个相关服务对每个主机进行通用访问。
您可以通过将默认的 allow_all
规则替换为您自己的一组 HBAC 规则来微调对不同主机的访问。对于集中式和简化的访问控制管理,您可以将 HBAC 规则应用到用户组、主机组或服务组,而不是单个用户、主机或服务。
46.1. 使用 WebUI 在 IdM 域中配置 HBAC 规则
要为基于主机的访问控制配置域,请完成以下步骤:
在创建自定义 HBAC 规则前不要禁用 allow_all
规则,因为,如果您这样做了,没有用户能够访问任何主机。
46.1.1. 在 IdM WebUI 中创建 HBAC 规则
要使用 IdM Web UI 为基于主机的访问控制配置域,请按照以下步骤操作。出于本示例的目的,流程演示了如何授予单个用户 sysadmin 使用任何服务访问域中的所有系统。
IdM 将用户的主组存储为 gidNumber
属性的数字值,而不是 IdM 组对象的链接。因此,HBAC 规则只能引用用户的补充组,而不是其主组。
先决条件
- 用户 sysadmin 在 IdM 中存在。
流程
- 选择 Policy>Host-Based Access Control>HBAC Rules。
- 点 开始添加新规则。
- 输入规则的名称,然后点 打开 HBAC 规则配置页面。
- 在 Who 区域中,选择 Specified Users and Groups。然后点 添加用户或组。
- 从 Available 用户列表中选择 sysadmin 用户,并点击 移到 Prospective 用户列表,然后点击 。
- 在 Accessing 区域中,选择 Any Host 将 HBAC 规则应用到所有主机。
在 Via Service 区域中,选择 Any Service 将 HBAC 规则应用到所有服务。
注意默认情况下,只为 HBAC 规则配置最常见的服务和服务组。
- 要显示当前可用的服务列表,请选择 Policy>Host-Based Access Control>HBAC Services。
- 要显示当前可用的服务组列表,请选择 Policy>Host-Based Access Control>HBAC Service Groups。
要添加更多的服务和服务组,请参阅 为自定义 HBAC 服务添加 HBAC 服务条目 和 添加 HBAC 服务组。
- 要保存您在 HBAC rule 配置页面中所做的任何更改,请点击页面顶部的 。
46.1.2. 在 IdM WebUI 中测试 HBAC 规则
IdM 允许您使用模拟场景测试各种情况下的 HBAC 配置。执行这些模拟测试,您可以在在生产环境中部署 HBAC 规则前发现错误配置问题或安全风险。
在在生产环境中开始使用它们之前,请始终测试自定义 HBAC 规则。
请注意,IdM 不测试 HBAC 规则对可信活动目录(AD)用户的影响。因为 IdM LDAP 目录不存储 AD 数据,所以当模拟 HBAC 场景时,IdM 不能解析 AD 用户的组成员资格。
流程
- 选择 Policy>Host-Based Access Control>HBAC Test。
- 在 Who 窗口中,指定您要执行测试的身份下的用户,然后点 。
- 在 Accessing 窗口中,指定用户将尝试访问的主机,然后单击 。
- 在 Via Service 窗口上,指定用户将尝试使用的服务,然后单击 。
在 Rules 窗口中,选择您要测试的 HBAC 规则,然后点 。如果您没有选择任何规则,则会测试所有规则。
选择 Include Enabled 以对其状态为 Enabled 的所有规则运行测试。选择 Include Disabled 以对其状态为 Disabled 的所有规则运行测试。要查看并更改 HBAC 规则的状态,请选择 Policy>Host-Based Access Control>HBAC Rules。
重要如果对多个规则运行测试,如果所选规则中至少一个允许访问,则成功通过。
- 在 Run Test 窗口上,单击 。
查看测试结果:
- 如果您看到 ACCESS DENIED,则用户没有在测试中授予访问权限。
- 如果您看到 ACCESS GRANTED,则用户可以成功访问主机。
默认情况下,IdM 在显示测试结果时列出所有经过测试的 HBAC 规则。
- 选择 Matched 以显示允许的成功访问的规则。
- 选择 Unmatched 来显示阻止访问的规则。
46.1.3. 在 IdM WebUI 中禁用 HBAC 规则
您可以禁用 HBAC 规则,但它只停用规则,而不删除规则。如果禁用了 HBAC 规则,您可以稍后重新启用它。
当您首次配置自定义 HBAC 规则时,禁用 HBAC 规则很有用。要确保新配置不会被默认的 allow_all
HBAC 规则覆盖,您必须禁用 allow_all
。
流程
- 选择 Policy>Host-Based Access Control>HBAC Rules。
- 选择您要禁用的 HBAC 规则。
- 单击 。
- 点 以确认您要禁用所选的 HBAC 规则。