Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Следующий »

Данная статья применима к:

  • Astra Linux

Введение

В данной статье рассмативаются приемы управления доступом на основе ролей на примере создания администратора с ограниченными возможностями, в данном случае - администратора, управляющего пользовательскими атрибутами.
Это может быть как сотрудник отдела кадров, выполняющий актуализацию персональных данных пользователя, или сотрудник отдела безопасности, выполняющий назначение и изменение мандатных прав доступа сотрудника.

В примерах используется название домена ipadomain0.ru и имя пользователя ipauser01.

Получение списка атрибутов пользователя

Для получения списка пользователей:

  1. Получить билет администратора домена:
    kinit admin
  2. Список пользователей:
    ipa user-find
  3. Информация о пользователе:

    1. Краткая информация:
      ipa user-show <имя_пользователя>
      например:

      ipa user-show ipauser01
        Имя учётной записи пользователя: ipauser01
        Имя: ipa
        Фамилия: user
        Домашний каталог: /home/ipauser01
        Оболочка входа: /bin/bash
        Имя учётной записи: ipauser01@IPADOMAIN0.RU
        Псевдоним учётной записи: ipauser01@IPADOMAIN0.RU
        Адрес электронной почты: ipauser01@ipadomain0.ru
        UID: 672001
        ID группы: 672001
        Учётная запись отключена: False
        Пароль: True
        Участник групп: ipausers
        Доступные ключи Kerberos: True

    2. Имена основных атрибутов:
      ipa user-show <имя_пользователя> --raw
      например:

      ipa user-show ipauser01 --raw
        uid: ipauser01
        givenname: ipa
        sn: user
        homedirectory: /home/ipauser01
        loginshell: /bin/bash
        krbcanonicalname: ipauser01@IPADOMAIN0.RU
        krbprincipalname: ipauser01@IPADOMAIN0.RU
        mail: ipauser01@ipadomain0.ru
        uidnumber: 672001
        gidnumber: 672001
        nsaccountlock: FALSE
        has_password: TRUE
        has_keytab: TRUE

    3. Имена всех атибутов пользователя:
      ipa user-show <имя_пользователя> --raw --all
      например:

      ipa user-show ipauser01 --raw --all
        dn: uid=ipauser01,cn=users,cn=accounts,dc=ipadomain0,dc=ru
        uid: ipauser01
        givenname: ipa
        sn: user
        cn: ipa user
        initials: iu
        homedirectory: /home/ipauser01
        gecos: ipa user
        loginshell: /bin/bash
        krbcanonicalname: ipauser01@IPADOMAIN0.RU
        krbprincipalname: ipauser01@IPADOMAIN0.RU
        mail: ipauser01@ipadomain0.ru
        uidnumber: 672001
        gidnumber: 672001
        xaldusermacmin: 0
        xaldusermacmax: 0
        x-ald-user-mic-level: 63
        nsaccountlock: FALSE
        has_password: TRUE
        has_keytab: TRUE
        displayName: ipa user
        ipaUniqueID: 40ee7828-356c-11ec-af20-525400d1cf1b
        krbExtraData: AAKHaHZhcm9vdC9hZG1pbkBJUEFET01BSU4wLlJVAA==
        krbLastPwdChange: 20211025081919Z
        krbPasswordExpiration: 20211025081919Z
        memberof: cn=ipausers,cn=groups,cn=accounts,dc=ipadomain0,dc=ru
        mepManagedEntry: cn=ipauser01,cn=groups,cn=accounts,dc=ipadomain0,dc=ru
        objectClass: top
        objectClass: person
        objectClass: organizationalperson
        objectClass: inetorgperson
        objectClass: inetuser
        objectClass: posixaccount
        objectClass: krbprincipalaux
        objectClass: krbticketpolicyaux
        objectClass: ipaobject
        objectClass: ipasshuser
        objectClass: x-ald-user
        objectClass: x-ald-user-parsec14
        objectClass: x-ald-audit-policy
        objectClass: ipaSshGroupOfPubKeys
        objectClass: mepOriginEntry
        userPassword: e1NTSEE1MTJ9TUNKNnEralhaYWdLclUxM1J3WVdMWEUweHpWOGhXMk10MkJRQWMyVnZRRTFJUVdpRmg0c0gyU0ZKWWgxRng0Y21zUm5rYlFqWnJ1eUZiVVBRNzdWU3YyR0p3YjJwWW9u
        x-ald-aud-mask: 0x0:0x0
        x-ald-user-mac: 0:0x0:0:0x0

Создание администратора пользовательских атрубутов

IPA-сервер -> Управление доступом на основе ролей -> разрешения

создаем разрешение:

права - чтение\запись

тип - Пользователь

Действующие атрибуты - выбираем нужные. (из x-ald*, xald*)


IPA-сервер -> Управление доступом на основе ролей -> привелегии

создаем привелегию или открываем нужную

добавляем созданное разрешение


IPA-сервер -> Управление доступом на основе ролей -> Роли

создаем роль или открываем нужную

добавляем нужную привелегию

добавляем пользователей


итог:
добавленные пользователи могут управлять выбранными атрибутами.

  • Нет меток