Данная статья применима к:
- Astra Linux
Введение
В данной статье рассмативаются приемы управления доступом на основе ролей на примере создания администратора с ограниченными возможностями, в данном случае - администратора, управляющего пользовательскими атрибутами.
Это может быть как сотрудник отдела кадров, выполняющий актуализацию персональных данных пользователя, или сотрудник отдела безопасности, выполняющий назначение и изменение мандатных прав доступа сотрудника.
В примерах используется название домена ipadomain0.ru и имя пользователя ipauser01.
Получение списка атрибутов пользователя
Для получения списка пользователей:
Получить билет администратора домена:
kinit adminПолучить список пользователей:
ipa user-find- Получить информацию о пользователе:
Краткая информация:
ipa user-show <имя_пользователя>например:Имена основных атрибутов:
ipa user-show <имя_пользователя> --rawнапример:Имена всех атрибутов пользователя:
ipa user-show <имя_пользователя> --raw --allнапример:
Создание администратора пользовательских атрубутов
Для создания администратора:
- Открыть web-браузер (например, firefox);
- Открыть страницу web-интерфейса контролера домена FreeIPA. Адрес страницы: https://<имя_севера_FreeIPA>;
- Если будет выведено сообщение о непроверенном сертификате - подтвердить вход и продолжить;
- Ввести имя и пароль администратора домане и войти в управляющий web-интерфейс;
Создание разрешений
Для создания разрешений в управляющем web-интерфейсе:
- Перейти в закладку "IPA-сервер";
- Выбрать пункт "Управление доступом на основе ролей";
- В выпадающем меню выбрать пункт "Разрешения";
- Нажать кнопку "Добавить";
- В форме добавления разрешения указать:
- Название разрешения, например "UsersManager";
- Тип правила привязки "permission";
- Предоставленные права: "read"и "write";
- Тип "пользователь" (выбрать из выпадающего списка). При этом в части "Действующие атрибуты" появится список доступных атрибутов;
- Отметить атрибуты, доступные пользователю для управления. Ннапример:
- для управления уровнем целоcтности выбрать атрибут x-ald-user-mic-level;
- для управления иерархическими уровнями конфиденциальности - атрибут xaldusermacmin и xaldusermacmax;
- Для сохранения введенных данных нажать кнопку "Добавить";
Создание привилегии
- Перейти в закладку "IPA-сервер";
- Выбрать пункт "Управление доступом на основе ролей";
- В выпадающем меню выбрать пункт "Привилегии";
- Для создания новой привилегии:
- Ннажать кнопку "Добавить";
- Ввести название и описание привилегии;
- Сохранить данные, нажав кнопку "Добавить"
- Выбрать существующую (ранее добавленную) привилегию;
- В открывшемся (возможно пустом) списке разрешений:
- Нажать кнопку "Добавить" для добавления существующего разрешения;
- Отметить добавляемые разрешения;
- Нажать кнопку "Стрелка вправо";
- Нажать кнопку "Добавить" для сохранения изменений.
Создание роли
- Перейти в закладку "IPA-сервер";
- Выбрать пункт "Управление доступом на основе ролей";
- В выпадающем меню выбрать пункт "Роли";
- Для создания новой роли:
- Ннажать кнопку "Добавить";
- Ввести название и описание роли;
- Сохранить данные, нажав кнопку "Добавить"
- Выбрать существующую (ранее добавленную) роль;
- В открывшемся (возможно пустом) списке пользователей:
- Нажать кнопку "Добавить" для назначения привилегии пользователям:
- Отметить добавляемых пользователей;
- Нажать кнопку "Стрелка вправо";
- Нажать кнопку "Добавить" для сохранения изменений;
- Перейти в закладку "Привилегии";
- В открывшемся (возможно пустом) списке привилегий:
- Нажать кнопку "Добавить" для назначения привилегии пользователям:
- Отметить добавляемые привилегии;
- Нажать кнопку "Стрелка вправо";
- Нажать кнопку "Добавить" для сохранения изменений;
- создаем роль или открываем нужную