Em nosso ambiente, employeeNumberé um campo sensível e não queremos que seja legível por todos os usuários. Por padrão, o IdM/IPA tem uma permissão padrão System: Read User Addressbook Attributesque inclui o atributo employeeNumber, mas nós o removemos (usando a interface da web do IPA). Isso teve o efeito colateral não intencional de não permitir mais que um usuário visualize seus próprios arquivos employeeNumber.
Sei que posso criar manualmente um ACI( (targetattr = "employeeNumber")(version 3.0;acl "User: Read own employeeNumber";allow (read) userdn = "ldap:///self";)) que devolverá ao usuário esse acesso ao seu próprio employeeNumber, mas prefiro fazer isso na interface IPA. Não consigo encontrar nenhuma opção incluída para fornecer ao usuário acesso somente leitura a algo - até mesmo as configurações de autoatendimento, mas que fornecem apenas acesso de gravação, mas não acesso de leitura.
Use a família de comandos de autoatendimento:
ipa selfservice-add 'user can read employeeNumber' --attrs=employeeNumber --permissions=read