Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

10.4.2.3. デフォルトの管理パーミッション

管理 パーミッションは、Identity Management で事前にインストールしたパーミッションです。これは、以下の相違点で、ユーザーが作成した他のパーミッションのように動作します。
  • 名前、場所、およびターゲット属性を変更することはできません。
  • 削除できません。
  • これには 3 つの属性セットがあります。
    • デフォルト 属性(IdM により管理され、ユーザーが変更できない)
    • 包含 属性。ユーザーが追加する属性。管理パーミッションに含まれる属性を追加するには、ipa permission-mod コマンドで --includedattrs オプションを指定して属性を指定します。
    • 除外された 属性(ユーザーが削除する属性。除外される属性を管理対象パーミッションに追加するには、ipa permission-mod コマンドで --excludedattrs オプションを指定して属性を指定します)
管理されているパーミッションは、デフォルトの属性セットと追加されている属性セットには表示されますが、除外されている属性セットには表示されていないすべての属性に適用されます。
管理パーミッションを変更する際に --attrs オプションを使用する場合は、包含属性と除外属性が自動的に調整され、-- attrs で提供された属性のみが有効にされます。
注記
管理されているパーミッションを削除することはできませんが、そのバインドタイプを permission に設定し、すべての権限から管理パーミッションを削除すると、そのパーミッションを効果的に無効にできます。
管理されたすべてのパーミッションの名前は System: から始まります (例: System: Add Sudo rule または System: Modify Services)。
以前のバージョンの IdM では、デフォルトパーミッションに異なるスキームを使用していました。たとえば、ユーザーがデフォルトのパーミッションを変更できないようにし、ユーザーは特権にのみ割り当てることができます。これらのデフォルトパーミッションのほとんどは管理パーミッションに切り替わっていますが、以下のパーミッションは引き続き以前のスキームを使用します。
  • Automember Rebuild メンバーシップタスクの追加
  • レプリカ合意の追加
  • 証明書削除保留
  • CA から証明書のステータスを取得します。
  • DNA 範囲の変更
  • レプリカ合意の変更
  • レプリカ合意の削除
  • 要求証明書
  • 別のホストからの証明書の要求
  • CA からの証明書の取得
  • 証明書の取り消し
  • IPA 設定の書き込み
Web UI から管理パーミッションを変更しようとすると、変更できない属性が無効になります。

図10.15 無効化された属性

無効化された属性
コマンドラインから管理パーミッションを変更しようとすると、システムは変更できない属性を変更できません。たとえば、デフォルトのシステム の変更を試みると、グループに適用するユーザー パーミッションの変更に失敗します。
$ ipa permission-mod 'System: Modify Users' --type=group
ipa: ERROR: invalid 'ipapermlocation': not modifiable on managed permissions
ただし、System: Users パーミッションを変更して GECOS 属性に適用することもできます。
$ ipa permission-mod 'System: Modify Users' --excludedattrs=gecos
------------------------------------------
Modified permission "System: Modify Users"