Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
HBAC (Host-based access control) — набор правил для настройки доступа пользователей или групп пользователей к определенным хостам с использованием определенных сервисов. Например:
- ограничение доступа по ssh к контроллеру домена определенной локации только для группы администраторов этой локации;
- разрешение использовать только определенную службу для доступа определенным пользователям на определенных хостах.
Информация |
---|
Правила предоставляют только разрешения доступа. Правила запрета доступа настроить невозможно. |
Предупреждение |
---|
В домене FreeIPA по умолчанию установлено правило allow_all , которое после настройки и проверки своих правил следует отключить. |
Примечание |
---|
FreeIPA хранит основную группу пользователя в виде числового значения атрибута |
Службы HBAC
В разделе Policy — Host-Based Access Control — HBAC Services перечислены службы и программы, которые могут быть затронуты при создании правил HBAC. Например, ftp, sshd, su, login.
Администратор имеет возможность добавить любые необходимые службы.
Примечание |
---|
Для разрешения входа в графический интерфейс пользователя необходимо создать службы |
Добавление правила
В разделе Policy — Host-Based Access Control — HBAC Rules нажать кнопку Add, откроется окно, в котором необходимо указать имя правила и нажать кнопку Add and Edit. В появившемся окне указать:
- Пользователей и/или группы, на которых будет применяться данное правило.
- Узлы и/или группы узлов, на которые будет применяться данное правило.
- Службы и/или группы служб, использование которых будет регулироваться данным правилом.
Допускается указывать совместно пользователей и группы пользователей, узлы и группы узлов, службы и группы служб. При этом, если в группе находится только один элемент, и эта группа уже добавлена, то добавить этот элемент отдельно невозможно.
Правила можно включать, отключать или удалять.
Проверка правила
Необходимо всегда проверять созданные правила. Для этого предусмотрен специальный инструмент, который расположен в Policy — Host-Based Access Control — HBAC Test:
- Выбрать пользователя из списка всех пользователей домена FreeIPA, на которого будет применяться созданное правило, и нажать кнопку Next.
- Выбрать узел из списка всех узлов в домене FreeIPA, на который будет применяться созданное правило, и нажать кнопку Next.
- Выбрать службу, работа которой подлежит проверке, и нажать кнопку Next.
- Выбрать правило или несколько правил, которые будут применены в ходе проверки, и нажать кнопку Next.
- Просмотреть результаты прошлой проверки (или отсутствие информации о прошлых проверках). Необходимо нажать кнопку Run Test.
- В результате проверки будет указано, соответствуют заданные параметры (пользователь, узел и службы) выбранному правилу или нет. В случае соответствия правило будет применяться.
Отключение и удаление правил
Выбрать из списка правило, которое необходимо отключить или удалить. Для отключения правила нажать кнопку Disable, для удаления — Delete: