10.3. 为用户委派权限


委派与角色非常相似,因为为一组用户分配了管理另一组用户条目的权限。但是,委派的授权与授予完整访问权限但仅授予特定用户属性(而非整个条目)的自助服务规则更加相似。另外,委派的颁发机构中的组是现有的 IdM 用户组,而不是为访问控制特别创建的角色。

10.3.1. 在 Web UI 中委派用户访问用户组

  1. 在顶部菜单中的 IPA Server 选项卡中,选择 基于角色的访问控制委派 子选项卡
  2. 单击委派访问控制指令列表顶部的 Add 链接。

    图 10.4. 添加新委派

    添加新委派
  3. 将新委派命名为 ACI。
  4. 通过选中复选框来设置权限,用户是否有权查看给定属性(读取),并添加或更改给定属性(写入)。
    某些用户可能具有查看信息,但不应能够对其进行编辑。
  5. User group 下拉菜单中,选择为用户组中用户条目 授予权限的 组。

    图 10.5. 添加委派表格

    添加委派表格
  6. Member user group 下拉菜单中,选择其条目可以被委派组的成员编辑 的组。
  7. 在属性框中,根据授予 member 用户组权限的属性选中复选框。
  8. 单击 Add 按钮,以保存新的委派 ACI。

10.3.2. 在命令行中委派用户访问用户组

使用 delegation-add 命令添加新的委派访问控制规则。需要三个参数:
  • --group即被授予用户组中用户条目权限 的组。
  • --membergroup,委派组成员 可编辑其条目 的组。
  • --attrs,允许成员组中的用户查看或编辑的属性。
例如:
$ ipa delegation-add "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --group=engineering_managers --membergroup=engineering
--------------------------------------
Added delegation "basic manager attrs"
--------------------------------------
  Delegation name: basic manager attrs
  Permissions: write
  Attributes: manager, title, employeetype, employeenumber
  Member user group: engineering
  User group: engineering_managers
使用 delegation-mod 命令编辑委派规则。--attrs 选项覆盖先前支持的属性列表,因此始终包括属性的完整列表以及任何新属性。
[jsmith@server ~]$ ipa delegation-mod "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --attrs=displayname
-----------------------------------------
Modified delegation "basic manager attrs"
-----------------------------------------
  Delegation name: basic manager attrs
  Permissions: write
  Attributes: manager, title, employeetype, employeenumber, displayname
  Member user group: engineering
  User group: engineering_managers
重要
在修改委派规则时包括所有属性,包括现有属性。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.