31.2. Permissions gérées par défaut

Les autorisations gérées sont des autorisations fournies par défaut avec l'IdM. Elles se comportent comme les autres autorisations créées par l'utilisateur, avec les différences suivantes :

  • Vous ne pouvez pas les supprimer ni modifier leur nom, leur emplacement et leurs attributs cibles.

  • Ils ont trois séries d'attributs :

    • Default l'utilisateur ne peut pas les modifier, car ils sont gérés par IdM
    • Included les attributs, qui sont des attributs supplémentaires ajoutés par l'utilisateur
    • Excluded les attributs, qui sont des attributs supprimés par l'utilisateur

Une autorisation gérée s'applique à tous les attributs qui figurent dans les ensembles d'attributs par défaut et inclus, mais pas dans l'ensemble exclu.

Note

Bien que vous ne puissiez pas supprimer une autorisation gérée, le fait de définir son type de liaison sur autorisation et de supprimer l'autorisation gérée de tous les privilèges la désactive effectivement.

Les noms de toutes les autorisations gérées commencent par System:, par exemple System: Add Sudo rule ou System: Modify Services. Les versions antérieures de l'IdM utilisaient un schéma différent pour les autorisations par défaut. Par exemple, l'utilisateur ne pouvait pas les supprimer et ne pouvait les attribuer qu'à des privilèges. La plupart de ces autorisations par défaut ont été transformées en autorisations gérées, mais les autorisations suivantes utilisent toujours le schéma précédent :

  • Ajouter une tâche de reconstruction de l'adhésion automatique
  • Ajouter des sous-enregistrements de configuration
  • Ajouter des accords de réplication
  • Certificat Supprimer la retenue
  • Obtenir l'état des certificats de l'autorité de certification
  • Plage de lecture de l'ADN
  • Modifier la portée de l'ADN
  • Lire la configuration des gestionnaires PassSync
  • Modifier la configuration des gestionnaires PassSync
  • Lire les accords de réplication
  • Modifier les accords de réplication
  • Supprimer les accords de réplication
  • Lire la configuration de la base de données LDBM
  • Demande de certificat
  • Demande de certificat ignorant les listes de contrôle de l'autorité de certification
  • Demander des certificats à un autre hôte
  • Récupérer des certificats auprès de l'autorité de certification
  • Révoquer le certificat
  • Écriture de la configuration de l'IPA
Note

Si vous tentez de modifier une autorisation gérée à partir de la ligne de commande, le système ne vous permet pas de changer les attributs que vous ne pouvez pas modifier, la commande échoue. Si vous tentez de modifier une autorisation gérée à partir de l'interface Web, les attributs que vous ne pouvez pas modifier sont désactivés.