在我们的环境中,employeeNumber
是一个敏感字段,我们不希望所有用户都能读取它。默认情况下,IdM/IPA 具有System: Read User Addressbook Attributes
包含 employeeNumber 属性的默认权限,但我们将其删除(使用 IPA Web 界面)。这产生了意想不到的副作用,即不再允许用户查看自己的employeeNumber
。
我知道我可以手动创建一个ACI
( (targetattr = "employeeNumber")(version 3.0;acl "User: Read own employeeNumber";allow (read) userdn = "ldap:///self";)
),让用户重新拥有对自己的 的访问权限employeeNumber
,但我更愿意在 IPA 界面中执行此操作。我似乎找不到任何包含的选项来让用户对某些内容具有只读访问权限 - 即使是自助服务设置,但这只提供写入访问权限,而不是读取访问权限。
答案1
使用 selfservice 系列命令:
ipa selfservice-add 'user can read employeeNumber' --attrs=employeeNumber --permissions=read