10.3. ユーザーへのパーミッションの委任
ユーザーのあるグループが別のユーザーのグループのエントリーを管理するパーミッションを割り当てられるという意味で、委任はロールにとてもよく似ています。ただし、付与される完全なアクセスがエントリー全体に対してではなく、特定のユーザー属性のみに対してであるという意味で、委任される権限はセルフサービスルールにより似ています。また、委任された権限内のグループは、アクセス制御のために特別に作成されたロールではなく、既存の IdM ユーザーグループになります。
10.3.1. Web UI でのユーザーグループへのアクセス委任
- トップメニューの IPA Server タブで、
サブタブを選択します。 - 委譲アクセス制御手順のリストの上部にある Add リンクをクリックします。
図10.4 新規委譲の追加
- 新規委任に名前を付けます。
- ユーザーが特定の属性を閲覧する権限を持つ (read) かその属性を追加または変更する権限を持つ (write) かをチェックボックスで選択して、パーミッションを設定します。ユーザーによっては情報を閲覧する必要はあるものの、編集可能にすべきでないユーザーもいます。
- User group ドロップダウンメニューで、ユーザーグループのユーザーエントリーに パーミッションを付与される グループを選択します。
図10.5 委譲を追加するためのフォーム
- Member user group ドロップダウンメニューで、委譲グループのメンバーが エントリーを編集できる グループを選択します。
- 属性ボックスでは、メンバーのユーザーグループがパーミッションを付与される属性を選択します。
- Add をクリックして新規委任 ACI を保存します。
10.3.2. コマンドラインでのユーザーグループへのアクセス委任
delegation-add コマンドを使用して、新しい委譲アクセス制御ルールが追加されます。以下の 3 つのオプションが必須になります。
--group
- ユーザーグループ内のユーザーのエントリーに パーミッションを付与されている グループです。--membergroup
- 委任グループのメンバーが エントリーを編集できる グループです。--attrs
- メンバーグループのユーザーが表示または編集できる属性です。
以下に例を示します。
$ ipa delegation-add "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --group=engineering_managers --membergroup=engineering -------------------------------------- Added delegation "basic manager attrs" -------------------------------------- Delegation name: basic manager attrs Permissions: write Attributes: manager, title, employeetype, employeenumber Member user group: engineering User group: engineering_managers
委任ルールは、delegation-mod コマンドを使用して編集します。
--attrs
オプションは、サポートされる属性のリストをすべて上書きするため、属性の完全なリストと新しい属性を常に含めます。
[jsmith@server ~]$ ipa delegation-mod "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --attrs=displayname ----------------------------------------- Modified delegation "basic manager attrs" ----------------------------------------- Delegation name: basic manager attrs Permissions: write Attributes: manager, title, employeetype, employeenumber, displayname Member user group: engineering User group: engineering_managers
重要
委任ルールを修正する際は、既存の属性も含め、すべての属性を含めるようにしてください。