10.2. 定义自助服务设置
自助服务访问控制规则定义实体可以自己执行的操作。这些规则仅定义用户(或其他 IdM 实体)可在其个人条目上编辑哪些属性。
10.2.1. 从 Web UI 创建自助服务规则
- 在顶部菜单中的 IPA Server 选项卡中,选择 子选项卡。
- 单击自助服务访问控制指令列表顶部的 Add。
图 10.1. 添加当前自助服务规则
- 在弹出窗口中输入规则的名称。允许使用空格。
图 10.2. 添加自助服务规则表格
- 选中此 ACI 允许用户编辑的属性所对应的复选框。
- 点 Add 按钮保存新的自助服务 ACI。
10.2.2. 从命令行创建自助服务规则
可以使用 selfservice-add 命令添加新的自助服务规则。这两个选项是必需的:
--permissions
用于设置 ACI 授予的权限(如写入、添加或删除)--attrs
用于提供 ACI 授予的权限的完整属性列表。
[jsmith@server ~]$ ipa selfservice-add "Users can manage their own name details" --permissions=write --attrs=givenname --attrs=displayname --attrs=title --attrs=initials ----------------------------------------------------------- Added selfservice "Users can manage their own name details" ----------------------------------------------------------- Self-service name: Users can manage their own name details Permissions: write Attributes: givenname, displayname, title, initials
10.2.3. 编辑自助服务规则
在 Web UI 中的自助服务条目中,唯一可以编辑的元素是 ACI 中包含的属性列表。可以选择或取消选中复选框。
图 10.3. 自助服务编辑页面
在命令行中,使用 ipa selfservice-mod 命令编辑自助服务规则。
--attrs
选项覆盖先前支持的属性列表,因此始终包括属性的完整列表以及任何新属性。
[jsmith@server ~]$ ipa selfservice-mod "Users can manage their own name details" --attrs=givenname --attrs=displayname --attrs=title --attrs=initials --attrs=surname -------------------------------------------------------------- Modified selfservice "Users can manage their own name details" -------------------------------------------------------------- Self-service name: Users can manage their own name details Permissions: write Attributes: givenname, displayname, title, initials
重要
在修改自助服务规则时包括所有属性,包括现有的属性。