31.2. IdM Web UI でのパーミッションの管理

Web インターフェイス (IdM Web UI) を使用して Identity Management (IdM) のパーミッションを管理するには、次の手順に従います。

前提条件

手順

  1. 新しいパーミッションを追加するには、IPA Server タブで Role-Based Access Control サブメニューを開き、Permissions を選択します。

    Permissions task

  2. パーミッションのリストが開きます。パーミッションのリストの上部にある Add ボタンをクリックします。

    Adding a new permission

  3. Add Permission フォームが開きます。新しいパーミッションの名前を指定し、そのプロパティーを適宜定義します。

    Form for adding a permission

  4. 適切なバインドルールタイプを選択します。

    • permission はデフォルトのパーミッションタイプで、権限およびロール経由でアクセスを付与します。
    • all: パーミッションを全認証ユーザーに適用することを指定します。

    • anonymous: 認証されていないユーザーを含め、すべてのユーザーにパーミッションを適用することを指定します。

      注記

      特権には、デフォルト以外のバインドルールタイプが指定されたパーミッションを追加できません。特権に既存のパーミッションは、デフォルト以外のバインドルールタイプには設定できません。

  5. Granted rights でこのパーミッションを付与する権限を選択します。

  6. パーミッションのターゲットエントリーを識別する方法を定義します。

    • Type: ユーザー、ホスト、またはサービスなどのエントリータイプを指定します。Type 設定の値を選択すると、このエントリータイプの ACI でアクセス可能な対応の属性をすべて Effective Attributes に表示します。Type を定義すると、 Subtree および Target DN が事前定義された値のいずれかに設定されます。
    • Subtree (必須): サブツリーエントリーを指定します。このサブツリーエントリーの下にあるすべてのエントリーが対象になります。Subtree ではワイルドカードや存在しないドメイン名 (DN) を使用できないので、既存のサブツリーエントリーを指定します。例: cn=automount,dc=example,dc=com
    • Extra target filter: DAP フィルターを使用して、パーミッションが適用されるエントリーを特定します。フィルターには、任意の有効な LDAP フィルターを使用できます (たとえば、(!(objectclass=posixgroup))
      ) IdM は指定のフィルターの有効性を自動的にチェックします。無効なフィルターを入力して、パーミッションを保存しようとすると、IdM からこの件について警告が表示されます。
    • Target DN: ドメイン名 (DN) を指定し、ワイルドカードを受け入れます。例: uid=*,cn=users,cn=accounts,dc=com
    • Member of group: 指定したグループのメンバーにターゲットフィルターを設定します。フィルター設定を指定してから Add をクリックすると、IdM がフィルターを検証します。すべてのパーミッション設定が正しい場合は、IdM により検索が実行されます。パーミッション設定の一部が正しくない場合には、IdM により、どの設定が正しく設定されているかを示すメッセージが表示されます。

  7. パーミッションに属性を追加します。

    • Type を設定する場合は、利用可能な ACI 属性のリストから Effective attributes を選択します。

    • Type を使用しない場合は、Effective attributes フィールドに属性を手動で書き込みます。一度に 1 つの属性を追加します。複数の属性を追加するには、Add をクリックして別の入力フィールドを追加します。

      重要

      パーミッションの属性を設定しない場合には、パーミッションはデフォルトですべての属性が含まれます。

  8. フォーム下部の Add ボタンでパーミッションの追加を完了します。

    • Add ボタンをクリックしてパーミッションを保存し、パーミッションのリストに戻ります。
    • パーミッションを保存し、Add and Add another ボタンをクリックして、継続して同じフォームに別のパーミッションを追加できます。
    • Add and Edit ボタンを使用すると、新規作成したパーミッションを保存して編集を継続できます。
  9. オプション。また、パーミッションのリストから名前をクリックして パーミッション権限 ページを表示し、既存のパーミッションのプロパティーを編集することもできます。

  10. オプション。既存のパーミッションを削除する必要がある場合は、リストで名前の横にあるチェックボックスにチェックマークを入れて、Delete ボタンをクリックして、Remove permissions ダイアログを表示します。

    注記

    デフォルトの管理パーミッションに対する操作は、変更できない属性は IdM Web UI で無効になっており、管理パーミッションを完全に削除することができないんど、制限されています。
    ただし、すべての特権から管理されているパーミッションを削除して、パーミッションにバインドタイプが設定されている管理されているパーミッションを効果的に無効にすることができます。

たとえば、このパーミッションを持つグループが、エンジニアリンググループのメンバー属性に (メンバーの追加や削除ができるように) 書き込みできるようにするには、以下を実行します。
Example for adding a permission