Назад | Перейти на главную страницу

Ограничить чтение атрибута LDAP для себя в FreeIPA / RedHat IdM

В нашей среде employeeNumber - это конфиденциальное поле, и мы не хотим, чтобы его читали все пользователи. По умолчанию IdM / IPA имеет разрешение по умолчанию System: Read User Addressbook Attributes который включает атрибут employeeNumber, но мы удалили его (с помощью веб-интерфейса IPA). Это имело непреднамеренный побочный эффект - больше не позволял пользователю просматривать свои собственные employeeNumber.

Я знаю, что могу вручную создать ACI ((targetattr = "employeeNumber")(version 3.0;acl "User: Read own employeeNumber";allow (read) userdn = "ldap:///self";)), который вернет пользователю этот доступ к их собственному employeeNumber, но я бы предпочел сделать это в интерфейсе IPA. Кажется, я не могу найти какой-либо включенной опции, чтобы предоставить пользователю доступ только для чтения к чему-либо - даже к настройкам самообслуживания, но это дает доступ только для записи, но не для чтения.

Используйте семейство команд самообслуживания:

ipa selfservice-add 'user can read employeeNumber' --attrs=employeeNumber --permissions=read