Данная статья применима к:
- Astra Linux
Введение
В данной статье рассмативаются приемы управления доступом на основе ролей на примере создания администратора с ограниченными возможностями, в данном случае - администратора, управляющего пользовательскими атрибутами.
Это может быть как сотрудник отдела кадров, выполняющий актуализацию персональных данных пользователя, или сотрудник отдела безопасности, выполняющий назначение и изменение мандатных прав доступа сотрудника.
В примерах используется название домена ipadomain0.ru и имя пользователя ipauser01.
Получение списка атрибутов пользователя
Для получения списка пользователей:
- Получить билет администратора домена:
kinit admin - Список пользователей:
ipa user-find - Информация о пользователе:
Краткая информация:
ipa user-show <имя_пользователя>
например:ipa user-show ipauser01
Имя учётной записи пользователя: ipauser01
Имя: ipa
Фамилия: user
Домашний каталог: /home/ipauser01
Оболочка входа: /bin/bash
Имя учётной записи: ipauser01@IPADOMAIN0.RU
Псевдоним учётной записи: ipauser01@IPADOMAIN0.RU
Адрес электронной почты: ipauser01@ipadomain0.ru
UID: 672001
ID группы: 672001
Учётная запись отключена: False
Пароль: True
Участник групп: ipausers
Доступные ключи Kerberos: TrueИмена основных атрибутов:
ipa user-show <имя_пользователя> --raw
например:ipa user-show ipauser01 --raw
uid: ipauser01
givenname: ipa
sn: user
homedirectory: /home/ipauser01
loginshell: /bin/bash
krbcanonicalname: ipauser01@IPADOMAIN0.RU
krbprincipalname: ipauser01@IPADOMAIN0.RU
mail: ipauser01@ipadomain0.ru
uidnumber: 672001
gidnumber: 672001
nsaccountlock: FALSE
has_password: TRUE
has_keytab: TRUEИмена всех атибутов пользователя:
ipa user-show <имя_пользователя> --raw --all
например:
Создание администратора пользовательских атрубутов
IPA-сервер -> Управление доступом на основе ролей -> разрешения
создаем разрешение:
права - чтение\запись
тип - Пользователь
Действующие атрибуты - выбираем нужные. (из x-ald*, xald*)
IPA-сервер -> Управление доступом на основе ролей -> привелегии
создаем привелегию или открываем нужную
добавляем созданное разрешение
IPA-сервер -> Управление доступом на основе ролей -> Роли
создаем роль или открываем нужную
добавляем нужную привелегию
добавляем пользователей
итог:
добавленные пользователи могут управлять выбранными атрибутами.