在我们的环境中, employeeNumber是一个敏感领域,我们不希望它被所有用户读取。 默认情况下,IdM / IPA具有System: Read User Addressbook Attributes默认权限System: Read User Addressbook Attributes ,其中包含employeeNumber属性,但我们删除了它(使用IPA Web界面)。 这有意想不到的副作用,不再允许用户查看自己的employeeNumber 。
我知道我可以手动创build一个ACI ( (targetattr = "employeeNumber")(version 3.0;acl "User: Read own employeeNumber";allow (read) userdn = "ldap:///self";) )用户将此权限返回到自己的employeeNumber ,但我更愿意在IPA界面中执行此操作。 我似乎无法find任何包含的选项,让用户只读访问的东西 – 甚至自助服务设置,但只提供写访问,但不读取访问。
使用selfservice系列命令:
ipa selfservice-add 'user can read employeeNumber' --attrs=employeeNumber --permissions=read