Red Hat Training
A Red Hat training course is available for RHEL 8
21.2. Gestión de los permisos de IdM en la CLI
Esta sección describe cómo gestionar los permisos de Gestión de Identidades (IdM) mediante la interfaz de línea de comandos (CLI).
Requisitos previos
- Privilegios de administrador para gestionar el IdM o el rol User Administrator.
- Un ticket Kerberos activo. Para más detalles, consulte Uso de kinit para iniciar sesión en IdM manualmente.
Procedimiento
Cree nuevas entradas de permisos con el comando
ipa permission-add
.
Por ejemplo, para añadir un permiso llamado dns admin:$ ipa permission-add \ "dns admin"
Especifique las propiedades del permiso con las siguientes opciones
--bindtype
especifica el tipo de regla de enlace. Esta opción acepta los argumentosall
,anonymous
ypermission
. Elpermission
bindtype significa que sólo los usuarios a los que se les ha concedido este permiso a través de un rol pueden ejercerlo.
Por ejemplo:$ ipa permission-add \ "dns admin" --bindtype=all
Si no se especifica
--bindtype
, el valor por defecto espermission
.NotaNo es posible añadir permisos con un tipo de regla de vinculación no predeterminado a los privilegios. Tampoco se puede establecer un permiso que ya esté presente en un privilegio con un tipo de regla de vinculación no predeterminado.
--right
enumera los derechos concedidos por el permiso, sustituye a la opción obsoleta--permissions
. Los valores disponibles sonadd
,delete
,read
,search
,compare
,write
,all
.Puede establecer varios atributos utilizando varias opciones de
--right
o con una lista separada por comas dentro de llaves. Por ejemplo:$ ipa permission-add \ "dns admin" --right=read --right=write
$ ipa permission-add \ "dns admin" --right={read,write}
Notaadd
ydelete
son operaciones de nivel de entrada (por ejemplo, eliminar un usuario, añadir un grupo, etc.) mientras queread
,search
,compare
ywrite
son más de nivel de atributo: se puede escribir enuserCertificate
pero no leeruserPassword
.--attrs
proporciona la lista de atributos sobre los que se concede el permiso.
Puede establecer varios atributos utilizando varias opciones de--attrs
o enumerando las opciones en una lista separada por comas dentro de llaves. Por ejemplo:$ ipa permission-add \ "dns admin" --attrs=description --attrs=automountKey
$ ipa permission-add \ "dns admin" --attrs={descripción,automountKey}
Los atributos proporcionados con
--attrs
deben existir y ser atributos permitidos para el tipo de objeto dado, de lo contrario el comando falla con errores de sintaxis del esquema.--type
define el tipo de objeto de entrada al que se aplica el permiso, como usuario, host o servicio. Cada tipo tiene su propio conjunto de atributos permitidos.
Por ejemplo:$ ipa permission-add \ "manage service" --right=all --type=service --attrs=krbprincipalkey --attrs=krbprincipalname --attrs=managedby
--subtree
proporciona una entrada de subárbol; el filtro se dirige entonces a todas las entradas situadas por debajo de esta entrada de subárbol. Proporcione una entrada de subárbol existente;--subtree
no acepta comodines ni nombres de dominio (DN) inexistentes. Incluir un DN dentro del directorio.
Dado que IdM utiliza una estructura de árbol de directorios plana y simplificada,--subtree
puede utilizarse para seleccionar algunos tipos de entradas, como las ubicaciones de montaje automático, que son contenedores o entradas principales para otra configuración. Por ejemplo:$ ipa permission-add \ "manage automount locations" --subtree="ldap://ldap.example.com:389/cn=automount,dc=example,dc=com" --right=write --attrs=nombredelmontajeautomático --attrs=clavedelmontajeautomático --attrs=informacióndelmontajeautomático
NotaLas opciones
--type
y--subtree
se excluyen mutuamente: se puede ver la inclusión de filtros para--type
como una simplificación de--subtree
, con la intención de facilitar la vida a un administrador.--filter
utiliza un filtro LDAP para identificar a qué entradas se aplica el permiso.
IdM comprueba automáticamente la validez del filtro dado. El filtro puede ser cualquier filtro LDAP válido, por ejemplo:$ ipa permission-add \ "administrar grupos de Windows" --filtro="(!(objectclass=posixgroup))\N-" --right=write --attrs=description
--memberof
establece el filtro de destino para los miembros del grupo dado después de comprobar que el grupo existe. Por ejemplo, para que los usuarios con este permiso puedan modificar el shell de inicio de sesión de los miembros del grupo de ingenieros:$ ipa permission-add ManageShell --right="write" --type=user --attr=loginshell --memberof=engineers
--targetgroup
establece el objetivo en el grupo de usuarios especificado después de comprobar que el grupo existe. Por ejemplo, para permitir que aquellos con el permiso escriban el atributo de miembro en el grupo de ingenieros (para que puedan añadir o eliminar miembros):$ ipa permission-add ManageMembers --right="write" --subtree=cn=groups,cn=accounts,dc=example,dc=test --attr=member --targetgroup=engineers
Opcionalmente, puede especificar un nombre de dominio (DN) de destino
-
--target
especifica el DN al que se aplicará el permiso. Se aceptan comodines. -
--targetto
especifica el subárbol de DN al que se puede mover una entrada. -
--targetfrom
especifica el subárbol de DN desde el que se puede mover una entrada.
-