22.2. Gerenciando permissões na IDM Web UI
Esta seção descreve como gerenciar as permissões no Gerenciamento de Identidade (IdM) usando a interface web (IdM Web UI).
Pré-requisitos
- Privilégios de administrador para administrar a IdM ou o papel User Administrator.
- Você está logado na IDM Web UI. Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.
Procedimento
Para adicionar uma nova permissão, abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Permissions:
A lista de permissões é aberta: Clique no botão Add no topo da lista de permissões:
O formulário Add Permission é aberto. Especifique o nome da nova permissão e defina suas propriedades de acordo:
Selecione o tipo apropriado de regra Bind:
- permission é o tipo de permissão padrão, concedendo acesso através de privilégios e funções
- all especifica que a permissão se aplica a todos os usuários autenticados
anonymous especifica que a permissão se aplica a todos os usuários, incluindo usuários não autenticados
NotaNão é possível acrescentar aos privilégios permissões com um tipo de regra de vinculação sem falta. Também não é possível definir uma permissão já presente em um privilégio para um tipo de regra de vinculação sem falta.
- Escolha os direitos a conceder com esta permissão em Granted rights.
Definir o método para identificar as entradas alvo para a permissão:
- Type especifica um tipo de entrada, como usuário, host, ou serviço. Se você escolher um valor para a configuração Type, uma lista de todos os atributos possíveis que serão acessíveis através deste ACI para esse tipo de entrada aparece em Effective Attributes. Definindo Type define os conjuntos Subtree e Target DN como um dos valores pré-definidos.
-
Subtree (obrigatório) especifica uma entrada de sub-árvore; cada entrada abaixo dessa sub-árvore é então direcionada. Forneça uma entrada de subárvore existente, pois Subtree não aceita wildcards ou nomes de domínio inexistentes (DNs). Por exemplo
cn=automount,dc=example,dc=com
-
Extra target filter usa um filtro LDAP para identificar a quais entradas a permissão se aplica. O filtro pode ser qualquer filtro LDAP válido, por exemplo:
(!(objectclass=posixgroup))
IdM verifica automaticamente a validade do filtro dado. Se você inserir um filtro inválido, o IdM o avisa sobre isso quando você tenta salvar a permissão. -
Target DN especifica o nome de domínio (DN) e aceita wildcards. Por exemplo
uid=*,cn=users,cn=accounts,dc=com
- Member of group estabelece o filtro alvo para os membros do grupo em questão. Depois de especificar as configurações do filtro e clicar em Add, o IdM valida o filtro. Se todas as configurações de permissão estiverem corretas, o IdM realizará a busca. Se algumas das configurações de permissões estiverem incorretas, o IdM exibirá uma mensagem informando sobre qual configuração está incorreta.
Acrescentar atributos à permissão:
- Se você definir Type, escolha o Effective attributes da lista de atributos ACI disponíveis.
Se você não utilizou Type, adicione os atributos manualmente, escrevendo-os no campo Effective attributes. Adicione um único atributo de cada vez; para adicionar vários atributos, clique em Add para adicionar outro campo de entrada.
ImportanteSe você não definir nenhum atributo para a permissão, então as permissões incluem todos os atributos por padrão.
Termine de acrescentar as permissões com os botões Add na parte inferior do formulário:
- Clique no botão Add para salvar a permissão e voltar para a lista de permissões.
- Alternativamente, você pode salvar a permissão e continuar adicionando permissões adicionais na mesma forma, clicando no botão Add and Add another
- O botão Add and Edit permite que você salve e continue editando a permissão recém-criada.
- Optional. Você também pode editar as propriedades de uma permissão existente clicando em seu nome na lista de permissões para exibir a página Permission settings.
Optional. Se você precisar remover uma permissão existente, clique no botão Delete uma vez marcada a caixa de seleção ao lado de seu nome na lista, para exibir o diálogo Remove permissions.
NotaAs operações sobre as permissões gerenciadas padrão são restritas: os atributos que você não pode modificar estão desativados na interface web do IdM e você não pode excluir completamente as permissões gerenciadas.
Entretanto, você pode efetivamente desativar uma permissão gerenciada que tenha um tipo de vínculo definido para permissão, removendo a permissão gerenciada de todos os privilégios.
Por exemplo, deixar aqueles com permissão escrever o atributo de membro no grupo de engenheiros (para que eles possam adicionar ou remover membros):