21.2. Gestión de los permisos de IdM en la CLI

Procedimiento

1. Cree nuevas entradas de permisos con el comando ipa permission-add.
   Por ejemplo, para añadir un permiso llamado dns admin:

   $ ipa permission-add \ "dns admin"

2. Especifique las propiedades del permiso con las siguientes opciones
   

   • --bindtype especifica el tipo de regla de enlace. Esta opción acepta los argumentos all, anonymous y permission. El permission bindtype significa que sólo los usuarios a los que se les ha concedido este permiso a través de un rol pueden ejercerlo.
     Por ejemplo:

     $ ipa permission-add \ "dns admin" --bindtype=all

     Si no se especifica --bindtype, el valor por defecto es permission.

     Nota

     No es posible añadir permisos con un tipo de regla de vinculación no predeterminado a los privilegios. Tampoco se puede establecer un permiso que ya esté presente en un privilegio con un tipo de regla de vinculación no predeterminado.

   • --right enumera los derechos concedidos por el permiso, sustituye a la opción obsoleta --permissions. Los valores disponibles son add, delete, read, search, compare, write, all.

     Puede establecer varios atributos utilizando varias opciones de --right o con una lista separada por comas dentro de llaves. Por ejemplo:

     $ ipa permission-add \ "dns admin" --right=read --right=write

     $ ipa permission-add \ "dns admin" --right={read,write}

     Nota

     add y delete son operaciones de nivel de entrada (por ejemplo, eliminar un usuario, añadir un grupo, etc.) mientras que read, search, compare y write son más de nivel de atributo: se puede escribir en userCertificate pero no leer userPassword.

   • --attrs proporciona la lista de atributos sobre los que se concede el permiso.
     Puede establecer varios atributos utilizando varias opciones de --attrs o enumerando las opciones en una lista separada por comas dentro de llaves. Por ejemplo:

     $ ipa permission-add \ "dns admin" --attrs=description --attrs=automountKey

     $ ipa permission-add \ "dns admin" --attrs={descripción,automountKey}

     Los atributos proporcionados con --attrs deben existir y ser atributos permitidos para el tipo de objeto dado, de lo contrario el comando falla con errores de sintaxis del esquema.

   • --type define el tipo de objeto de entrada al que se aplica el permiso, como usuario, host o servicio. Cada tipo tiene su propio conjunto de atributos permitidos.
     Por ejemplo:

     $ ipa permission-add \ "manage service" --right=all --type=service --attrs=krbprincipalkey --attrs=krbprincipalname --attrs=managedby

   • --subtree proporciona una entrada de subárbol; el filtro se dirige entonces a todas las entradas situadas por debajo de esta entrada de subárbol. Proporcione una entrada de subárbol existente; --subtree no acepta comodines ni nombres de dominio (DN) inexistentes. Incluir un DN dentro del directorio.
     Dado que IdM utiliza una estructura de árbol de directorios plana y simplificada, --subtree puede utilizarse para seleccionar algunos tipos de entradas, como las ubicaciones de montaje automático, que son contenedores o entradas principales para otra configuración. Por ejemplo:

     $ ipa permission-add \ "manage automount locations" --subtree="ldap://ldap.example.com:389/cn=automount,dc=example,dc=com" --right=write --attrs=nombredelmontajeautomático --attrs=clavedelmontajeautomático --attrs=informacióndelmontajeautomático

     Nota

     Las opciones --type y --subtree se excluyen mutuamente: se puede ver la inclusión de filtros para --type como una simplificación de --subtree, con la intención de facilitar la vida a un administrador.

   • --filter utiliza un filtro LDAP para identificar a qué entradas se aplica el permiso.
     IdM comprueba automáticamente la validez del filtro dado. El filtro puede ser cualquier filtro LDAP válido, por ejemplo:

     $ ipa permission-add \ "administrar grupos de Windows" --filtro="(!(objectclass=posixgroup))\N-" --right=write --attrs=description

   • --memberof establece el filtro de destino para los miembros del grupo dado después de comprobar que el grupo existe. Por ejemplo, para que los usuarios con este permiso puedan modificar el shell de inicio de sesión de los miembros del grupo de ingenieros:

     $ ipa permission-add ManageShell --right="write" --type=user --attr=loginshell --memberof=engineers

   • --targetgroup establece el objetivo en el grupo de usuarios especificado después de comprobar que el grupo existe. Por ejemplo, para permitir que aquellos con el permiso escriban el atributo de miembro en el grupo de ingenieros (para que puedan añadir o eliminar miembros):

     $ ipa permission-add ManageMembers --right="write" --subtree=cn=groups,cn=accounts,dc=example,dc=test --attr=member --targetgroup=engineers

   • Opcionalmente, puede especificar un nombre de dominio (DN) de destino
     

     • --target especifica el DN al que se aplicará el permiso. Se aceptan comodines.
     • --targetto especifica el subárbol de DN al que se puede mover una entrada.
     • --targetfrom especifica el subárbol de DN desde el que se puede mover una entrada.