Red Hat Training

A Red Hat training course is available for RHEL 8

25.2. 在 IdM Web UI 中管理权限

本节论述了如何使用 Web 界面(IdM Web UI)在 Identity Management(IdM)中管理权限。

先决条件

流程

  1. 要添加新权限,在 IPA Server 选项卡中打开基于角色的访问控制子菜单并选择 权限

    Permissions task

  2. 此时会打开权限列表:点击权限列表顶部的 Add 按钮:

    Adding a new permission

  3. 此时会打开 Add Permission 表单。指定新权限的名称,并相应地定义其属性:

    Form for adding a permission

  4. 选择适当的 Bind 规则类型:

    • 权限是默认权限类型,通过特权和角色授予访问权限
    • all 指定权限适用于所有经过身份验证的用户
    • anonymous 指定权限适用于所有用户,包括未经身份验证的用户

      注意

      无法通过非默认绑定规则类型向 权限添加权限。您也不能将特权中已存在的权限设置为非默认绑定规则类型。

  5. 选择授予此权限的权利
  6. 定义用于标识权限的目标条目的方法:

    • type 指定条目类型,如 user、host 或 service。如果您为 Type 设置选择一个值,则会在 Effective Attributes 下显示可通过此 ACI 访问的所有可能属性列表。定义 TypeSubtreeTarget DN 设置为其中一个预定义的值。
    • 子树 (必需)指定一个子树条目;这个子树条目下的每个条目都是目标条目。提供现有的子树条目,因为 Subtree 不接受通配符或不存在的域名(DN)。例如: cn=automount,dc=example,dc=com
    • 额外目标过滤器使用 LDAP 过滤器来识别权限应用到的条目。过滤器可以是任何有效的 LDAP 过滤器,例如: (!(objectclass=posixgroup))
      IdM 会自动检查给定过滤器的有效性。如果您输入无效的过滤器,IdM 会在您尝试保存权限时警告您。
    • 目标 DN 指定域名(DN)并接受通配符。例如: uid=*,cn=users,cn=accounts,dc=com
    • 组的成员将目标过滤器设置为给定组的成员。指定过滤器设置并点击 Add 后,IdM 会验证过滤器。如果所有权限设置都正确,IdM 将执行搜索。如果某些权限设置不正确,IdM 将显示一条消息,通知您哪个设置不正确。
  7. 在权限中添加属性:

    • 如果设置 Type,请从可用 ACI 属性列表中选择 Effective 属性。
    • 如果您没有使用 Type,通过将属性写入 Effective 属性字段来手动添加属性。一次添加单个属性;若要添加多个属性,可单击 Add 以添加另一个输入字段

      重要

      如果您没有为权限设置任何属性,则权限默认包含所有属性。

  8. 使用表单底部的 Add 按钮完成添加权限:

    • 单击添加按钮以保存权限并返回权限列表
    • 或者,您可以保存权限,并通过单击 Add 和 Add 另一个按钮继续在同一表单中添加其他权限
    • 通过 Add and Edit 按钮,您可以保存并继续编辑新创建的权限。
  9. 可选。您还可以通过单击现有权限列表中的名称以显示权限设置页面来编辑现有权限的属性
  10. 可选。如果您需要删除现有权限,请在列表中选中其名称旁边的复选框后单击删除按钮 ,以显示删除权限对话框

    注意

    对默认管理权限的操作受到限制:您无法修改的属性在 IdM Web UI 中禁用,您无法完全删除受管权限。
    但是,您可以通过从所有权限中删除受管权限,有效禁用绑定类型设置为权限的托管权限。

例如,要让那些拥有权限的学员在 engineer 组中写入 member 属性(这样他们可以添加或删除成员):
Example for adding a permission