Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

10.4.2.4. Identity Management のバージョンにおけるパーミッション

Identity Management の以前のバージョンでは、パーミッションの処理が異なります。以下に例を示します。
  • グローバル IdM ACI は、匿名ユーザー(認証されていないユーザー)であっても、サーバーのすべてのユーザーに読み取りアクセスが付与されます。
  • パーミッションタイプの作成、追加、および削除のみが利用できました。read パーミッションも利用可能ですが、認証されていないものなど、すべてのユーザーが、デフォルトで読み取りアクセスがあったため、実用値はほとんどありません。
Identity Management の現行バージョンには、詳細なパーミッションを設定するオプションがあります。
  • グローバル IdM ACI は、認証されていないユーザーに読み取りアクセスを付与しません。
  • たとえば、フィルターとサブツリーの両方を同じパーミッションに追加できるようになりました。
  • 検索を追加し、権限を比較できます。
パーミッションを処理する新しい方法は、ユーザーまたはグループのアクセスを制御する IdM 機能を大幅に改善し、以前のバージョンとの後方互換性を維持します。IdM の以前のバージョンからアップグレードすると、すべてのサーバーでグローバル IdM ACI が削除され、管理パーミッション に置き換えられます。
前述の方法で作成されたパーミッションは、変更するたびに現在のスタイルに自動的に変換されます。変更を試みないと、前のタイプのパーミッションは変換されません。パーミッションで現在のスタイルが使用されると、以前のスタイルにダウングレードされることはありません。
注記
それでも、以前のバージョンの IdM を実行しているサーバーの特権にパーミッションを割り当てることができます。
ipa permission-show コマンドおよび ipa permission-find コマンドは、現在のパーミッションと以前のスタイルのパーミッションの両方を認識します。これらの両方のコマンドからの出力には現在のスタイルのパーミッションが表示されますが、パーミッション自体は変更されません。このコマンドは、LDAP への変更をコミットせずに、メモリーにのみデータを出力する前にパーミッションエントリーをアップグレードします。
以前のバージョンと現在の特性の両方が含まれるパーミッションは、すべてのサーバー(以前のバージョンの IdM)や、現在の IdM バージョンを実行しているすべてのサーバーに適用されます。ただし、以前のバージョンの IdM を実行しているサーバー上で現在のパーミッションでパーミッションを作成または変更することはできません。