Red Hat Summit12.9. ACI パーミッションの定義
パーミッションルールは、アクセス制御手順 (ACI) に関連付けられた権限と、アクセスを許可または拒否されるかどうかを定義します。
ACI では、以下の強調表示された部分はパーミッションルールになります。
(target_rule) (version 3.0; acl "ACL_name"; permission_rule bind_rules;)
(target_rule) (version 3.0; acl "ACL_name"; permission_rule bind_rules;)12.9.1. パーミッションルールの構文
パーミッションルールの一般的な構文は、以下のとおりです。
permission (rights)
permission (rights)-
permission: アクセス制御手順 (ACI) がパーミッションを許可するか、拒否するかを設定します。 -
rights: ACI が許可または拒否する権限を設定します。User rights in permission rules を参照してください。
例12.11 パーミッションの定義
ou=People,dc=example,dc=com エントリーに保存されているユーザーが、独自のエントリー内の全属性を検索し、表示するには、以下を実行します。
ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
# ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x
dn: ou=People,dc=example,dc=com
changetype: modify
add: aci
aci: (target = "ldap:///ou=People,dc=example,dc=com") (version 3.0;
acl "Allow users to read and search attributes of own entry"; allow (search, read)
(userdn = "ldap:///self");)12.9.2. パーミッションルールのユーザー権限
パーミッションルールの権限は、付与または拒否される操作を定義します。ACI では、以下の権限の 1 つまたは複数を設定できます。
| 権利 | 説明 |
|---|---|
|
| ユーザーがディレクトリーデータを読み込めるかどうかを設定します。このパーミッションは、LDAP の検索操作にのみ適用されます。 |
|
|
属性を追加、変更、または削除してユーザーがエントリーを変更できるかどうかを設定します。このパーミッションは、LDAP の |
|
|
ユーザーがエントリーを作成できるかどうかを設定します。このパーミッションは、LDAP の |
|
|
ユーザーがエントリーを削除できるかどうかを設定します。このパーミッションは、LDAP の |
|
|
ユーザーがディレクトリーデータを検索できるかどうかを設定します。検索結果の一部として返されたデータを表示するには、 |
|
|
ユーザーが提供したデータとディレクトリーに保存されているデータを比較できるかどうかを設定します。 |
|
| ユーザーがグループから独自の識別名 (DN) を追加または削除できるかどうかを設定します。この権限は、グループ管理にのみ使用されます。 |
|
|
指定した DN が他のエントリーの権限でターゲットにアクセスできるかどうかを設定します。 |
|
|
|
12.9.3. LDAP 操作に必要な権限
This section describes the rights you must grant to users depending on the type of LDAP operation you want to authorize them to perform.
This section describes the rights you must grant to users depending on the type of LDAP operation you want to authorize them to perform.エントリーの追加:
-
追加するエントリーの
addパーミッションを付与します。 -
エントリーの各属性の値に
writeパーミッションを付与します。この権限はデフォルトで付与されますが、targattrfiltersキーワードを使用して制限できます。
-
追加するエントリーの
エントリーの削除:
-
削除するエントリーの
deleteパーミッションを付与します。 -
エントリーの各属性の値に
writeパーミッションを付与します。この権限はデフォルトで付与されますが、targattrfiltersキーワードを使用して制限できます。
-
削除するエントリーの
エントリーの属性の変更:
-
属性タイプで
writeパーミッションを付与します。 -
各属性種別の値の
write権限を付与します。この権限はデフォルトで付与されますが、targattrfiltersキーワードを使用して制限できます。
-
属性タイプで
エントリーの RDN の変更:
-
エントリーで
writeパーミッションを付与します。 -
新しい RDN で使用される属性タイプの
writeパーミッションを付与します。 -
古い RDN の削除に適した権限を付与する場合は、古い RDN で使用される属性タイプの
writeパーミッションを付与します。 -
新しい RDN で使用される属性型の値に対して
write権限を付与します。この権限はデフォルトで付与されますが、targattrfiltersキーワードを使用して制限できます。
-
エントリーで
属性の値を比較します。
-
属性タイプで
compareパーミッションを付与します。
-
属性タイプで
エントリーの検索:
-
検索フィルターで使用される各属性タイプの
searchパーミッションを付与します。 -
エントリーで使用される属性タイプの
readパーミッションを付与します。
-
検索フィルターで使用される各属性タイプの
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}