10.2. セルフサービス設定の定義

セルフサービスのアクセス制御ルールでは、エントリーがそれ自体で実行可能な操作を定義します。このルールでは、ユーザー (または他の IdM エンティティー) が自身のパーソナルエントリーで編集可能な属性のみを定義します。
デフォルトでは、以下の 3 つのセルフサービスルールがあります。
  • パーソナルエントリー内の一般的な属性を編集するルール。これには、姓、名、電話番号、および住所などが含まれます。
  • パーソナルパスワードを編集するルール。これには 2 つの Samba パスワード、Kerberos パスワード、および一般的なユーザーパスワードが含まれます。
  • パーソナル SSH キーを管理するルール。

10.2.1. Web UI でのセルフサービスルールの作成

  1. トップメニューで IPA Server タブを開き、Self Service Permissions サブタブを選択します。
  2. セルフサービス ACI リストのトップにある Add をクリックします。
    新規セルフサービスルールの追加

    図10.1 新規セルフサービスルールの追加

  3. ポップアップウィンドウでルール名を入力します。空白を使用することもできます。
    セルフサービス追加のフォーム

    図10.2 セルフサービス追加のフォーム

  4. この ACI でユーザーによる編集を許可する属性のチェックボックスを選択します。
  5. Add をクリックして新規セルフサービス ACI を保存します。

10.2.2. コマンドライン でのセルフサービスルールの作成

新規セルフサービスルールは、selfservice-add コマンドで追加できます。以下の 2 つのオプションが必須になります。
  • --permissions は、ACI が付与する書き込み、追加、または削除などのパーミッションを設定します。
  • --attrs では、この ACI がパーミッションを付与する属性の完全一覧を提供します。
[jsmith@server ~]$ ipa selfservice-add "Users can manage their own name details" --permissions=write --attrs=givenname --attrs=displayname --attrs=title --attrs=initials
-----------------------------------------------------------
Added selfservice "Users can manage their own name details"
-----------------------------------------------------------
    Self-service name: Users can manage their own name details
    Permissions: write
    Attributes: givenname, displayname, title, initials

10.2.3. セルフサービスルールの編集

ウェブ UI のセルフサービスエントリーでは、ACI に含まれている属性の一覧のみが編集可能な要素です。チェックボックスで選択または選択解除ができます。
セルフサービス編集ページ

図10.3 セルフサービス編集ページ

コマンドラインでは、ipa selfservice-mod コマンドでセルフサービスルールを編集します。--attrs オプションはそれまでにサポートされていた属性をすべて上書きするので、新規属性の他に属性の完全一覧を常に含めるようにしてください。
[jsmith@server ~]$ ipa selfservice-mod "Users can manage their own name details" --attrs=givenname --attrs=displayname --attrs=title --attrs=initials --attrs=surname
--------------------------------------------------------------
Modified selfservice "Users can manage their own name details"
--------------------------------------------------------------
Self-service name: Users can manage their own name details
Permissions: write
Attributes: givenname, displayname, title, initials

重要

セルフサービスルールを修正する際は、既存の属性も含め、すべての属性を含めるようにしてください。