Red Hat Training

A Red Hat training course is available for RHEL 8

28.2. 在 IdM Web UI 中管理权限

按照以下流程,使用 Web 界面(IdM Web UI)在身份管理(IdM)中管理权限。

先决条件

流程

  1. 要添加一个新权限,请在 IPA Server 选项卡中打开 Role-Based Access Control 子菜单,然后选择 Permissions

    Permissions task

  2. 此时会打开权限列表:点击权限列表顶部的 Add 按钮:

    Adding a new permission

  3. 此时会打开 Add Permission 表单。指定新权限的名称,并相应地定义其属性:

    Form for adding a permission

  4. 选择合适的绑定规则类型:

    • permission 是默认的权限类型,通过特权和角色授予访问权限
    • all 指定权限适用于所有经过身份验证的用户
    • anonymous 指定权限适用于所有用户,包括未经身份验证的用户

      注意

      不能对特权添加带有非默认绑定规则类型的权限。您也不能对非默认绑定规则类型设置特权中已存在的权限。

  5. 选择在 Granted rights 中使用此权限授予的权利。
  6. 定义方法来标别权限的目标条目:

    • Type 指定条目类型,如 user、host 或 service。如果您为 Type 设置选择了一个值,则可通过该 ACI 访问该条目类型的所有可能属性的列表将出现在 Effective Attributes 下。定义 Type 会将 SubtreeTarget DN 设置为其中一个预定义的值。
    • Subtree (必需的)指定一个子树条目;然后这个子树条目下的每个条目都成为目标。提供现有的子树条目,因为 Subtree 不接受通配符或不存在的域名(DN)。例如: cn=automount,dc=example,dc=com
    • 额外目标过滤器 使用 LDAP 过滤器来识别权限将应用到哪个条目。过滤器可以是任何有效的 LDAP 过滤器,例如: (!(objectclass=posixgroup))
      ,IdM 会自动检查给定过滤器的有效性。如果您输入无效的过滤器,IdM 会在您尝试保存权限时给您发出警告。
    • 目标 DN 指定域名(DN),并接受通配符。例如: uid=*,cn=users,cn=accounts,dc=com
    • 组成员 对给定组的成员设置目标过滤器。指定过滤器设置并点击 Add 后,IdM 会验证过滤器。如果所有权限设置都正确,IdM 将执行搜索。如果某些权限设置不正确,IdM 将显示一条消息,通知您哪个设置不正确。
  7. 向权限添加属性:

    • 如果设置了 Type,请从可用的 ACI 属性列表中选择 Effective attributes
    • 如果您没有使用 Type,通过将属性写入Effective attributes 字段来手动添加属性。一次添加一个属性;若要添加多个属性,可单击 Add 来添加另一个输入字段。

      重要

      如果您没有为权限设置任何属性,则权限默认包含所有属性。

  8. 使用表单底部的 Add 按钮完成添加权限:

    • 单击 Add 按钮来保存权限,并回到权限列表。
    • 或者,您可以保存权限,并通过单击 Add and Add another 按钮继续在同一表单中添加其他权限。
    • Add and Edit 按钮使您可以保存并继续编辑新创建的权限。
  9. 可选。您还可以通过单击权限列表中的名称来显示Permission settings 页面来编辑现有权限的属性。
  10. 可选。如果您需要删除现有权限,请在列表中选中其名称旁边的复选框后单击 Delete按钮,来显示 Remove permissions 对话框。

    注意

    对默认受管权限的操作是受限制的:您无法修改的属性在 IdM Web UI 中是禁用的,您无法完全删除受管的权限。
    但是,您可以通过从所有特权中删除受管权限,可以有效禁用设置了绑定类型权限的受管权限。

例如,要让 engineer 组中的用户拥有写成员属性的权限(因此他们可以添加或删除成员):
Example for adding a permission