Делегирование прав на объекты и организационные подразделения
Делегирование прав на объекты и организационные подразделения позволяет назначать определенным пользователям или группам ограниченные административные полномочия без предоставления им полного доступа.
Работа с делегированием прав осуществляется в перспективе "Объекты службы каталога".
Делегирование прав и их сочетаний в иерархической структуре
Для операций пользователь должен иметь права на чтение, создание, изменение, удаление делегирований и изменения атрибута aci.
Операция доступна через графический интерфейс Системы и CLI. В штатном веб-интерфейсе FreeIPA данный функционал недоступен.
В CLI для этих операций используются команды вида:
$ ipa delegation_[find/add/mod/del/show/…] [имя_делегирования] --[параметры] --[общие опции]
В графическом интерфейсе Dynamic Directory в левой части главного окна выбрать ОП на любом уровне иерархии и из контекстного меню выбрать пункт "Делегировать управление", в результате чего отобразится окно "Мастер делегирования управления" в соответствии с рисунком 125.
Рисунок 125 – Мастер делегирования управления
Для создания делегирования управления необходимо нажать кнопку Добавить, в окне "Создание нового объекта – Делегирование" ввести имя и, при необходимости, описание в соответствии с рисунком 126. Далее нужно нажать кнопку ОК для сохранения объекта.
Рисунок 126 – Создание объекта "Делегирование"
Объект отобразится в окне и для продолжения его настройки необходимо нажать кнопку Далее для настройки прав делегирования (рисунок 127).
Рисунок 127 – Выбор пользователей или групп для делегирования
Затем, нажав кнопку Добавить, из окна "Поиск объектов службы каталогов" выбрать объекты для делегирования управления. Их список будет отображаться в окне по мере добавления. При выборе существующего делегирования управления и нажатии кнопки Далее можно изменять его параметры. Кнопкой Удалить можно исключать объекты из списка, при этом все выданные ими разрешения будут удалены из Системы.
После выбора делегирования управления необходимо нажать кнопку Далее (есть возможность вернуться на предыдущий шаг нажатием кнопки Назад) для перехода к окну настройки прав доступа в соответствии с рисунком 128.
Рисунок 128 – Окно настройки прав доступа
В этом окне возможно задать права на запрет, наследование, чтение, добавление, изменение, удаление, делегирование для следующих объектов службы каталогов:
- пользователи;
- организационные подразделения;
- общие принтеры;
- общие папки;
- компьютеры;
- делегирование управления;
- группы пользователей;
- группы компьютеров;
- динамические группы пользователей;
- динамические группы компьютеров.
Нажатием кнопки Атрибуты в правой верхней части окна можно выбрать набор атрибутов объектов для делегирования прав (рисунок 129).
Для быстрой настройки прав доступен выбор сохраненных шаблонов из выпадающего списка "Шаблоны прав доступа". Кнопки Заменить и Дополнить используют для полной замены существующего шаблона или его дополнения выбранными настройками доступа.
После настройки всех необходимых прав и нажатия кнопки Далее в новом окне можно посмотреть и проверить все заданные параметры делегирования, при необходимости вернуться на предыдущее окно кнопкой Назад или нажать кнопку Завершить для сохранения текущего делегирования управления. При нажатии кнопки Отмена все действия по настройке будут отменены.
Рисунок 129 – Выбор атрибутов для делегирования прав
Функционал делегирования управления позволяет осуществлять как наследование прав на нижние уровни по иерархии организационных подразделений, так и делегирование прав только на одном уровне иерархии.
Наследование делегирования прав включается в окне "Мастер делегирования прав" в опции "Наследовать" (рисунок 130). Если опция "Наследовать" включена, то делегирование наследуется и на вложенные (подчиненные) организационные подразделения. Если же опция "Наследовать" не включена, то делегирование распространяется только на конкретное организационное подразделение.
Рисунок 130 – Опция "Наследовать"
При выборе параметра "Запретить" будет запрещен доступ к объекту или его атрибутам заданным субъектам доступа.
Делегирование также поддерживает запретительную модель доступа.
При выборе параметра "Делегировать" выбранным объектам будет доступно дальнейшее делегирование прав. Если нужно запретить дальнейшее делегирование, то нужно установить флажок "Запрещено" напротив пункта "Делегировать" (рисунок 131).
Рисунок 131 – Запрет делегирования
Ознакомиться с полным списком делегирований можно, перейдя в полосе меню к пункту "Файл" и выбрав "Список делегирований". После этого откроется соответствующее окно с перечнем всех делегирований (рисунок 132).
Рисунок 132 – Список делегирований
В этом же окне можно воспользоваться поиском по всем делегированиям, введя в поле "Фильтр" текст для поиска имени делегирования.
Для изменения делегирования управления необходимо выбрать делегирование в нужном подразделении и нажать кнопку ОК. После этого откроется соответствующее окно для изменения данных о делегировании для этого подразделения (рисунок 133).
Рисунок 133 – Мастер делегирования управления
Действующие права на объекты
Для просмотра действующих прав на объекты пользователь должен иметь права на чтение, создание, изменение, удаление делегирований и изменения атрибута aci.
В CLI для этой операции командная строка не предусмотрена.
В штатном веб-интерфейсе FreeIPA данный функционал недоступен.
Операция доступна через графический интерфейс Dynamic Directory.
С помощью графического интерфейса Dynamic Directory можно посмотреть действующие права объектов службы каталогов, для чего в полосе меню необходимо перейти к пункту "Файл" и выбрать "Действующие права". В результате отобразится окно "Действующие права" в соответствии с рисунком 134.
Рисунок 134 – Действующие права
Затем, нажав кнопку (три точки) рядом с полем для ввода имени объекта, из окна "Поиск объектов службы каталогов" выбрать объект, на который будут распространяться права пользователя. Далее, нажав кнопку (три точки) рядом с полем для ввода имени пользователя, из окна "Поиск объектов службы каталогов" выбрать пользователя с действующими правами на выбранный объект.
После выбора объекта и пользователя необходимо нажать кнопку Применить для отображения действующих прав доступа пользователя на объект в соответствии с рисунком 135.
Рисунок 135 – Окно настройки действующих прав доступа
В этом окне возможно задать права на добавление, удаление, переименование и отображение для всех атрибутов объекта.
Далее нужно нажать кнопку Применить для сохранения действующих прав на атрибуты. Окно будет закрыто, внесенные изменения будут применены к действующим правам пользователя.
Делегирование прав на политики
Делегирование прав на политики службы каталогов необходимо для безопасного, гибкого и эффективного управления ИТ-инфраструктурой, соблюдения принципа минимальных привилегий и распределения задач между администраторами.
Для делегирования прав на политики пользователь должен иметь права на чтение, создание, изменение, удаление делегирований и изменения атрибута aci.
Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory.
В CLI для этой операции используются команды вида:
$ ipa delegate_add_member [имя_политики + ‘ ’[Read DDPO/Modify DDPO/Manage DDPO]] --
[user/group/host/hostgroup/dgroup/dhostgroup] [имя_объекта]
Для делегирования прав на политики в графическом интерфейсе Dynamic Directory необходимо в главном окне Системы выбрать политику и из контекстного меню – пункт "Свойства". На вкладке делегирования соответствующими кнопками можно Добавить или Удалить пользователей или группы пользователей, которым будут делегироваться права в соответствии с одним из типов – чтение, изменение, управление – в окне "Выбор типа делегирования" (рисунок 136).
Рисунок 136 – Выбор типа делегирования прав
Для сохранения нужно нажать на кнопку ОК.