31.2. 在 IdM Web UI 中管理权限
按照以下流程,使用 Web 界面(IdM Web UI)在身份管理(IdM)中管理权限。
先决条件
- 管理 IdM 或 用户管理员 角色的管理员特权。
- 您已登录到 IdM Web UI。详情请参阅 在 Web 浏览器中访问 IdM Web UI。
步骤
要添加新权限,请在 IPA Server 选项卡中打开 Role-Based Access Control 子菜单,然后选择 Permissions :
此时会打开权限列表:点击权限列表顶部的 Add 按钮:
此时会打开 Add Permission 表单。指定新权限的名称,并相应地定义其属性:
选择合适的绑定规则类型:
- permission 是默认的权限类型,通过特权和角色授予访问权限
- all 指定权限适用于所有经过身份验证的用户
anonymous 指定权限适用于所有用户,包括未经身份验证的用户
注意不能对特权添加带有非默认绑定规则类型的权限。您也不能对非默认绑定规则类型设置特权中已存在的权限。
- 选择在 Granted rights 中使用此权限授予的权利。
定义方法来标别权限的目标条目:
- Type 指定条目类型,如 user、host 或 service。如果您为 Type 设置选择了一个值,则可通过该 ACI 访问该条目类型的所有可能属性的列表将出现在 Effective Attributes 下。定义 Type 会将 Subtree 和 Target DN 设置为其中一个预定义的值。
-
Subtree (必需的)指定一个子树条目;然后这个子树条目下的每个条目都成为目标。提供现有的子树条目,因为 Subtree 不接受通配符或不存在的域名(DN)。例如:
cn=automount,dc=example,dc=com
-
额外目标过滤器 使用 LDAP 过滤器来识别权限将应用到哪个条目。过滤器可以是任何有效的 LDAP 过滤器,例如:
(!(objectclass=posixgroup))
,IdM 会自动检查给定过滤器的有效性。如果您输入无效的过滤器,IdM 会在您尝试保存权限时给您发出警告。 -
目标 DN 指定域名(DN),并接受通配符。例如:
uid=*,cn=users,cn=accounts,dc=com
- 组成员 对给定组的成员设置目标过滤器。指定过滤器设置并点击 Add 后,IdM 会验证过滤器。如果所有权限设置都正确,IdM 将执行搜索。如果某些权限设置不正确,IdM 将显示一条消息,通知您哪个设置不正确。
向权限添加属性:
- 如果设置了 Type,请从可用的 ACI 属性列表中选择 Effective attributes。
如果您没有使用 Type,通过将属性写入Effective attributes 字段来手动添加属性。一次添加一个属性;若要添加多个属性,可单击 Add 来添加另一个输入字段。
重要如果您没有为权限设置任何属性,则权限默认包含所有属性。
使用表单底部的 Add 按钮完成添加权限:
- 单击 Add 按钮来保存权限,并回到权限列表。
- 或者,您可以保存权限,并通过单击 Add and Add another 按钮继续在同一表单中添加其他权限。
- Add and Edit 按钮使您可以保存并继续编辑新创建的权限。
- 可选。您还可以通过单击权限列表中的名称来显示Permission settings 页面来编辑现有权限的属性。
可选。如果您需要删除现有权限,请在列表中选中其名称旁边的复选框后单击 Delete按钮,来显示 Remove permissions 对话框。
注意对默认受管权限的操作是受限制的:您无法修改的属性在 IdM Web UI 中是禁用的,您无法完全删除受管的权限。
但是,您可以通过从所有特权中删除受管权限,可以有效禁用设置了绑定类型权限的受管权限。
例如,要让 engineer 组中的用户拥有写成员属性的权限(因此他们可以添加或删除成员):