在我们的环境中,employeeNumber是一个敏感字段,我们不希望所有用户都可以读取它。默认情况下,IdM/IPA 具有System: Read User Addressbook Attributes包含employeeNumber 属性的默认权限,但我们将其删除(使用IPA Web 界面)。这产生了不再允许用户查看他们自己的employeeNumber.
我知道我可以手动创建一个ACI( (targetattr = "employeeNumber")(version 3.0;acl "User: Read own employeeNumber";allow (read) userdn = "ldap:///self";)) 来让用户重新获得对他们自己的访问权限employeeNumber,但我更愿意在 IPA 界面中执行此操作。我似乎找不到任何包含的选项来授予用户对某些内容的只读访问权限 - 甚至是自助服务设置,但这仅提供写访问权限,但不提供读访问权限。
使用 selfservice 命令系列:
ipa selfservice-add 'user can read employeeNumber' --attrs=employeeNumber --permissions=read