10.3. 为用户委派权限
委派与角色非常相似,因为为一组用户分配了管理另一组用户条目的权限。但是,委派的授权与授予完整访问权限但仅授予特定用户属性(而非整个条目)的自助服务规则更加相似。另外,委派的颁发机构中的组是现有的 IdM 用户组,而不是为访问控制特别创建的角色。
10.3.1. 在 Web UI 中委派用户访问用户组
- 在顶部菜单中的 IPA Server 选项卡中,选择
。 - 单击委派访问控制指令列表顶部的 Add 链接。
图 10.4. 添加新委派
- 将新委派命名为 ACI。
- 通过选中复选框来设置权限,用户是否有权查看给定属性(读取),并添加或更改给定属性(写入)。某些用户可能具有查看信息,但不应能够对其进行编辑。
- 在 User group 下拉菜单中,选择为用户组中用户条目 授予权限的 组。
图 10.5. 添加委派表格
- 在 Member user group 下拉菜单中,选择其条目可以被委派组的成员编辑 的组。
- 在属性框中,根据授予 member 用户组权限的属性选中复选框。
- 单击 Add 按钮,以保存新的委派 ACI。
10.3.2. 在命令行中委派用户访问用户组
使用 delegation-add 命令添加新的委派访问控制规则。需要三个参数:
--group
,即被授予用户组中用户条目权限 的组。--membergroup
,委派组成员 可编辑其条目 的组。--attrs
,允许成员组中的用户查看或编辑的属性。
例如:
$ ipa delegation-add "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --group=engineering_managers --membergroup=engineering -------------------------------------- Added delegation "basic manager attrs" -------------------------------------- Delegation name: basic manager attrs Permissions: write Attributes: manager, title, employeetype, employeenumber Member user group: engineering User group: engineering_managers
使用 delegation-mod 命令编辑委派规则。
--attrs
选项覆盖先前支持的属性列表,因此始终包括属性的完整列表以及任何新属性。
[jsmith@server ~]$ ipa delegation-mod "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --attrs=displayname ----------------------------------------- Modified delegation "basic manager attrs" ----------------------------------------- Delegation name: basic manager attrs Permissions: write Attributes: manager, title, employeetype, employeenumber, displayname Member user group: engineering User group: engineering_managers
重要
在修改委派规则时包括所有属性,包括现有属性。