Red Hat Training

A Red Hat training course is available for RHEL 8

22.2. Gerenciando permissões na IDM Web UI

Esta seção descreve como gerenciar as permissões no Gerenciamento de Identidade (IdM) usando a interface web (IdM Web UI).

Pré-requisitos

Procedimento

  1. Para adicionar uma nova permissão, abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Permissions:

    Tarefa de permissões

  2. A lista de permissões é aberta: Clique no botão Add no topo da lista de permissões:

    Adicionando uma nova permissão

  3. O formulário Add Permission é aberto. Especifique o nome da nova permissão e defina suas propriedades de acordo:

    Formulário para adicionar uma permissão

  4. Selecione o tipo apropriado de regra Bind:

    • permission é o tipo de permissão padrão, concedendo acesso através de privilégios e funções
    • all especifica que a permissão se aplica a todos os usuários autenticados
    • anonymous especifica que a permissão se aplica a todos os usuários, incluindo usuários não autenticados

      Nota

      Não é possível acrescentar aos privilégios permissões com um tipo de regra de vinculação sem falta. Também não é possível definir uma permissão já presente em um privilégio para um tipo de regra de vinculação sem falta.

  5. Escolha os direitos a conceder com esta permissão em Granted rights.
  6. Definir o método para identificar as entradas alvo para a permissão:

    • Type especifica um tipo de entrada, como usuário, host, ou serviço. Se você escolher um valor para a configuração Type, uma lista de todos os atributos possíveis que serão acessíveis através deste ACI para esse tipo de entrada aparece em Effective Attributes. Definindo Type define os conjuntos Subtree e Target DN como um dos valores pré-definidos.
    • Subtree (obrigatório) especifica uma entrada de sub-árvore; cada entrada abaixo dessa sub-árvore é então direcionada. Forneça uma entrada de subárvore existente, pois Subtree não aceita wildcards ou nomes de domínio inexistentes (DNs). Por exemplo cn=automount,dc=example,dc=com
    • Extra target filter usa um filtro LDAP para identificar a quais entradas a permissão se aplica. O filtro pode ser qualquer filtro LDAP válido, por exemplo: (!(objectclass=posixgroup))
      IdM verifica automaticamente a validade do filtro dado. Se você inserir um filtro inválido, o IdM o avisa sobre isso quando você tenta salvar a permissão.
    • Target DN especifica o nome de domínio (DN) e aceita wildcards. Por exemplo uid=*,cn=users,cn=accounts,dc=com
    • Member of group estabelece o filtro alvo para os membros do grupo em questão. Depois de especificar as configurações do filtro e clicar em Add, o IdM valida o filtro. Se todas as configurações de permissão estiverem corretas, o IdM realizará a busca. Se algumas das configurações de permissões estiverem incorretas, o IdM exibirá uma mensagem informando sobre qual configuração está incorreta.
  7. Acrescentar atributos à permissão:

    • Se você definir Type, escolha o Effective attributes da lista de atributos ACI disponíveis.
    • Se você não utilizou Type, adicione os atributos manualmente, escrevendo-os no campo Effective attributes. Adicione um único atributo de cada vez; para adicionar vários atributos, clique em Add para adicionar outro campo de entrada.

      Importante

      Se você não definir nenhum atributo para a permissão, então as permissões incluem todos os atributos por padrão.

  8. Termine de acrescentar as permissões com os botões Add na parte inferior do formulário:

    • Clique no botão Add para salvar a permissão e voltar para a lista de permissões.
    • Alternativamente, você pode salvar a permissão e continuar adicionando permissões adicionais na mesma forma, clicando no botão Add and Add another
    • O botão Add and Edit permite que você salve e continue editando a permissão recém-criada.
  9. Optional. Você também pode editar as propriedades de uma permissão existente clicando em seu nome na lista de permissões para exibir a página Permission settings.
  10. Optional. Se você precisar remover uma permissão existente, clique no botão Delete uma vez marcada a caixa de seleção ao lado de seu nome na lista, para exibir o diálogo Remove permissions.

    Nota

    As operações sobre as permissões gerenciadas padrão são restritas: os atributos que você não pode modificar estão desativados na interface web do IdM e você não pode excluir completamente as permissões gerenciadas.
    Entretanto, você pode efetivamente desativar uma permissão gerenciada que tenha um tipo de vínculo definido para permissão, removendo a permissão gerenciada de todos os privilégios.

Por exemplo, deixar aqueles com permissão escrever o atributo de membro no grupo de engenheiros (para que eles possam adicionar ou remover membros):
Exemplo para adicionar uma permissão