Show Table of Contents
10.3. ユーザーへのパーミッションの委任
ユーザーのあるグループが別のユーザーのグループのエントリーを管理するパーミッションを割り当てられるという意味で、委任はロールにとてもよく似ています。ただし、付与される完全なアクセスがエントリー全体に対してではなく、特定のユーザー属性のみに対してであるという意味で、委任される権限はセルフサービスルールにより似ています。また、委任された権限内のグループは、アクセス制御のために特別に作成されたロールではなく、既存の IdM ユーザーグループになります。
10.3.1. Web UI でのユーザーグループへのアクセス委任
- トップメニューの IPAサーバータブで、 → サブタブを選択します。
- 委任アクセスコントロール説明のトップリストの追加リンクをクリックします。
図10.4 新規委任の追加
- 新規委任に名前を付けます。
- ユーザーが特定の属性を閲覧する権限を持つ (read) かその属性を追加または変更する権限を持つ (write) かをチェックボックスで選択して、パーミッションを設定します。ユーザーによっては情報を閲覧する必要はあるものの、編集可能にすべきでないユーザーもいます。
- User group ドロップダウンメニューで、ユーザーグループのユーザーエントリーに パーミッションを付与される グループを選択します。
図10.5 委任追加のフォーム
- Member user group ドロップダウンメニューで、委任グループのメンバーが編集する対象エントリーの グループを選択します。
- 属性ボックスでは、メンバーのユーザーグループがパーミッションを付与される属性を選択します。
- Add をクリックして新規委任 ACI を保存します。
10.3.2. コマンドラインでのユーザーグループへのアクセス委任
新規の委任アクセス制御ルールは、
delegation-add コマンドで追加できます。以下の 3 つのオプションが必須になります。
--groupは、ユーザーグループのユーザーエントリーに パーミッションを付与される グループです。--membergroupは、委任グループのメンバーが編集する対象エントリーの グループです。--attrsは、メンバーグループのユーザーが表示または編集を許可される属性です。
以下に例を示します。
$ ipa delegation-add "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --group=engineering_managers --membergroup=engineering -------------------------------------- Added delegation "basic manager attrs" -------------------------------------- Delegation name: basic manager attrs Permissions: write Attributes: manager, title, employeetype, employeenumber Member user group: engineering User group: engineering_managers
委任ルールは、
delegation-mod コマンドで編集します。--attrs オプションはそれまでにサポートされていた属性をすべて上書きするので、新規属性に加えて属性の完全一覧を常に含めるようにしてください。
[jsmith@server ~]$ ipa delegation-mod "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --attrs=displayname ----------------------------------------- Modified delegation "basic manager attrs" ----------------------------------------- Delegation name: basic manager attrs Permissions: write Attributes: manager, title, employeetype, employeenumber, displayname Member user group: engineering User group: engineering_managers
重要
委任ルールを修正する際は、既存の属性も含め、すべての属性を含めるようにしてください。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.