В нашей среде employeeNumber
- это конфиденциальное поле, и мы не хотим, чтобы его читали все пользователи. По умолчанию IdM / IPA имеет разрешение по умолчанию System: Read User Addressbook Attributes
который включает атрибут employeeNumber, но мы удалили его (с помощью веб-интерфейса IPA). Это имело непреднамеренный побочный эффект - больше не позволял пользователю просматривать свои собственные employeeNumber
.
Я знаю, что могу вручную создать ACI
((targetattr = "employeeNumber")(version 3.0;acl "User: Read own employeeNumber";allow (read) userdn = "ldap:///self";)
), который вернет пользователю этот доступ к их собственному employeeNumber
, но я бы предпочел сделать это в интерфейсе IPA. Кажется, я не могу найти какой-либо включенной опции, чтобы предоставить пользователю доступ только для чтения к чему-либо - даже к настройкам самообслуживания, но это дает доступ только для записи, но не для чтения.
Используйте семейство команд самообслуживания:
ipa selfservice-add 'user can read employeeNumber' --attrs=employeeNumber --permissions=read