База знаний
Войти

Ролевая модель на базе ролей, привилегий и разрешений

При использовании ролевой модели права пользователей назначаются не напрямую, а через роли, объединяющие наборы привилегий и разрешений.

Роли – это группы или контейнеры, объединяющие пользователей с похожими функциями. Привилегии определяют конкретные права на выполнение действий. Разрешения описывают детальные настройки доступа к объектам.

Процедура назначения ролей включает:

  1. создание роли;
  2. назначение привилегий ролям;
  3. включение пользователей в роли для автоматического получения нужных прав.

Преимущества ролевой модели:

  • гибкость – легко добавлять/удалять права для целых групп пользователей;
  • масштабируемость – подходит для крупных организаций с сотнями администраторов;
  • аудит и контроль – можно отслеживать, кто и какие действия выполнял;
  • снижение рисков – минимизация ошибок (например, нельзя случайно дать лишние права).

Необходимым условием для работы с перспективой "Управление ролевой моделью" является авторизация пользователя в домене.

Главное окно перспективы "Управление ролевой моделью" состоит из полосы меню (верхняя часть), панели инструментов (под полосой меню) и двух панелей – панели дерева (слева) и панели списка (справа), содержащих информацию о ролях, доступе, токенах OTP, отношениях доверия и диапазонах идентификаторов, в нижней части окна отображается строка состояния.

В панели дерева отображается иерархическая структура секций перспективы. Секция "Управление ролевой моделью" содержит папки с ролями FreeIPA, привилегиями FreeIPA и разрешениями FreeIPA. В панели списка отображаются объекты, связанные с папкой. В строке состояния отображаются данные о сервере, на который выполнен вход, и о пользователе, от имени которого выполнен вход.

На рисунке 137 обозначены элементы интерфейса:

1 – полоса меню;

2 – панель инструментов;

3 – панель дерева;

4 – панель списка;

5 – строка состояния.

Рисунок 137 – Графический интерфейс перспективы "Управление ролевой моделью" Dynamic Directory

Отображение списка доступных ролей FreeIPA

Для просмотра списка ролей пользователь должен иметь права на чтение ролей FreeIPA.

Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory.

В CLI для отображения списка доступных ролей используется команда вида:

$ ipa role_find [критерии] --[параметры] --[общие опции]

Для отображения конкретной роли FreeIPA необходимо выполнить команду:

$ ipa role_show [имя_роли] [--all]

В графическом интерфейсе Dynamic Directory для доступа ко всем ролям FreeIPA необходимо выбрать секцию "Управление ролевой моделью", далее в ней выбрать папку "Роли FreeIPA". В правой панели будут отображены все доступные роли FreeIPA, как показано на рисунке 138.

Рисунок 138 – Список доступных ролей FreeIPA

В Системе реализованы встроенные роли и привилегии FreeIPA, описанные в таблице 2.

Создание, изменение и удаление ролей FreeIPA

Для этих операций пользователь должен иметь права на чтение, создание, изменение и удаление ролей FreeIPA.

Операция доступна через все интерфейсы Системы.

Штатный веб-интерфейс FreeIPA не позволяет управлять ролями FreeIPA в Системе.

В CLI создание, изменение, удаление ролей FreeIPA осуществляется с помощью команд вида:

$ ipa role_[add/mod/del] [имя_роли] --[параметры] --[общие опции]

В графическом интерфейсе Dynamic Directory при выборе папки "Роли FreeIPA" в панели инструментов доступны все инструменты по созданию, изменению и удалению ролей FreeIPA.

С помощью графического интерфейса Dynamic Directory можно создать новую роль FreeIPA. Для этого в контекстном меню папки "Роли FreeIPA" необходимо выбрать пункт "Новая роль". После этого откроется соответствующее окно для ввода первоначальных данных о роли FreeIPA (рисунок 139).

Рисунок 139 – Окно создания роли

После заполнения данных роли необходимо нажать кнопку ОК в нижней части окна. Окно будет закрыто, в главном окне интерфейса будут отображены записи о роли.

Для изменения информации о роли необходимо, находясь в главном окне графического интерфейса Dynamic Directory, в правой панели вызвать контекстное меню нужной роли и выбрать пункт "Свойства". Будет открыто соответствующее окно (рисунок 140).

Рисунок 140 – Окно изменения данных роли

Кроме изменения основных атрибутов роли FreeIPA, в этом же окне доступны вкладки "Участники" и "Привилегии".

Описание вкладки "Участники" приведено в п. Назначение ролей объектам настоящего документа.

На вкладке "Привилегии" можно определить привилегии, которые будут применяться к выбранной роли (рисунок 141).

Рисунок 141 – Назначение привилегий для ролей FreeIPA

Для добавления привилегий нужно нажать кнопку Добавить. В появившемся окне "Выбор объекта" можно задать имя привилегии для поиска, выбрать привилегию и нажать кнопку ОК в соответствии с рисунком 142. На вкладке "Привилегии" появится выбранный ранее объект.

Для удаления объекта из перечня на вкладке "Привилегии" нужно выбрать объект и нажать кнопку Удалить.

Рисунок 142 – Выбор привилегии из списка

С помощью графического интерфейса Dynamic Directory можно удалить роль FreeIPA. Удаление объектов службы каталогов производится с помощью его выбора в правой панели и последующего нажатия в панели инструментов пиктограммы (крест). Система выдаст запрос на подтверждение удаления объекта. После положительного ответа объект будет удален из Системы.

Назначение ролей объектам

Операция назначения ролей объектам возможна при наличии у пользователя прав на чтение, создание, изменение и удаление ролей FreeIPA.

Операция доступна через все интерфейсы Системы.

В CLI для назначения роли FreeIPA объекту службы каталогов выполняют команду вида:

$ ipa role_add_member [имя_роли] --[параметры] --[общие опции]

Для отмены назначения роли FreeIPA объекту службы каталогов используют команду вида:

$ ipa role_remove_member [имя_роли] --[параметры] --[общие опции]

В графическом интерфейсе в левой части окна нужно перейти к секции "Управление ролевой моделью" и выбрать папку "Роли FreeIPA", содержащую все доступные роли FreeIPA. В правой части панели списка перейти к роли и выбрать из контекстного меню пункт "Свойства". В окне "Свойства объекта – Роль" (рисунок 143) для назначения роли объекту нужно перейти на вкладку "Участники" и нажать кнопку Добавить.

Рисунок 143 – Назначение роли FreeIPA объектам

В появившемся окне "Поиск объектов службы каталогов" нужно задать необходимые параметры для поиска, выбрать пользователя, группу пользователей или несколько групп и нажать кнопку ОК в соответствии с рисунком 144. На вкладке "Участники" появится выбранный объект.

Рисунок 144 – Поиск объекта для назначения роли FreeIPA

Для удаления объекта из перечня на вкладке "Участники" нужно выбрать пользователя, группу пользователей или несколько групп и нажать кнопку Удалить.

Отображение списка доступных привилегий FreeIPA

Для просмотра списка доступных привилегий FreeIPA пользователь должен иметь права на чтение привилегий FreeIPA.

Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory.

В CLI для отображения списка доступных привилегий в интерфейсе командной строки используется команда вида:

$ ipa privilege_find [критерии] --[параметры] --[общие опции]

Для отображения конкретной привилегии FreeIPA необходимо выполнить команду:

$ ipa privilege_show [имя_привилегии] [--all]

В графическом интерфейсе Dynamic Directory необходимо выбрать "Управление ролевой моделью" и далее "Привилегии FreeIPA". В правой панели будут отображены все доступные привилегии FreeIPA, как показано на рисунке 145.

Рисунок 145 – Список доступных привилегий FreeIPA

Создание, изменение и удаление привилегий FreeIPA

Для этих операций пользователь должен иметь права на чтение, создание, изменение и удаление привилегий FreeIPA.

Операция доступна через все интерфейсы Системы.

Штатный веб-интерфейс FreeIPA не позволяет управлять привилегиями FreeIPA в Системе.

В CLI создание, изменение, удаление привилегий FreeIPA осуществляется с помощью команд вида:

$ ipa privilege_[add/mod/del] [имя_привилегии] --[параметры] --[общие опции]

В графическом интерфейсе Dynamic Directory при выборе папки "Привилегии FreeIPA" в панели инструментов доступны все инструменты по созданию, изменению и удалению привилегий FreeIPA.

С помощью графического интерфейса Dynamic Directory можно создать новую привилегию FreeIPA. Для этого в контекстном меню необходимо выбрать пункт "Новая привилегия". После этого откроется соответствующее окно для ввода первоначальных данных о привилегии FreeIPA (рисунок 146).

Рисунок 146 – Окно создания привилегии

После заполнения данных привилегии необходимо нажать кнопку ОК в нижней части окна. Окно будет закрыто, в главном окне интерфейса будут отображены записи о привилегии.

Для изменения информации о привилегии необходимо в правой панели вызвать контекстное меню нужной привилегии и выбрать пункт "Свойства". Будет открыто соответствующее окно (рисунок 147).

Рисунок 147 – Окно изменения данных привилегии

Кроме изменения основных атрибутов привилегии FreeIPA, в данном окне доступны вкладки "Разрешения" и "Роли".

Описание вкладки "Разрешения" приведено в п. Отображение списка доступных привилегий FreeIPA настоящего документа.

При переходе на вкладку "Роли" можно определить роли, к которым будет применяться выбранная привилегия (рисунок 148).

Рисунок 148 – Назначение ролей для привилегий FreeIPA

Для добавления ролей нужно нажать кнопку Добавить. В появившемся окне "Выбор объекта" можно задать имя роли для поиска, выбрать роль и нажать кнопку ОК в соответствии с рисунком 149. На вкладке "Роли" появится выбранный ранее объект.

Для удаления объекта из перечня на вкладке "Роли" нужно выбрать объект и нажать кнопку Удалить.

Рисунок 149 – Выбор роли из списка

С помощью графического интерфейса Dynamic Directory можно удалить привилегию FreeIPA. Удаление объектов службы каталогов производится с помощью выбора объекта в правой панели и последующего нажатия в панели инструментов пиктограммы (крест). Система выдаст запрос на подтверждение удаления объекта. После положительного ответа объект будет удален из Системы.

Назначение разрешений для привилегий FreeIPA

Операция возможна при наличии у пользователя прав на чтение, создание, изменение и удаление привилегий FreeIPA.

Операция доступна через все интерфейсы Системы.

В CLI для назначения разрешения для привилегии FreeIPA выполняют команду вида:

$ ipa privilege_add_permission [имя_роли] --[параметры] --[общие опции]

Для отмены назначения разрешения для привилегии FreeIPA используют команду вида:

$ ipa privilege_remove_permission [имя_роли] --[параметры] --[общие опции]

В графическом интерфейсе в левой части окна следует перейти в секцию "Управление ролевыми моделями" и выбрать папку "Привилегии FreeIPA", содержащую все доступные привилегии FreeIPA. В правой части панели списка перейти к привилегии и выбрать из контекстного меню пункт "Свойства". В окне "Свойства объекта – Привилегии" (рисунок 150) для назначения разрешения привилегии нужно перейти на вкладку "Разрешения" и нажать кнопку Добавить.

Рисунок 150 – Назначение разрешения для привилегии FreeIPA

В появившемся окне "Выбор объекта" можно задать имя разрешения для поиска, выбрать разрешение и нажать кнопку ОК в соответствии с рисунком 151. На вкладке "Разрешения" появится выбранный объект.

Для удаления объекта из перечня на вкладке "Разрешения" нужно выбрать объект и нажать кнопку Удалить.

Рисунок 151 – Выбор разрешения из списка

Отображение списка доступных разрешений FreeIPA

Для просмотра списка пользователь должен иметь права на чтение разрешений FreeIPA.

Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory.

В CLI для отображения списка доступных разрешений в интерфейсе командной строки используется команда:

$ ipa permission_find [критерии] --[параметры] --[общие опции]

Для отображения конкретного разрешения FreeIPA необходимо выполнить команду:

$ ipa permission_show [имя_разрешения] [--all]

В графическом интерфейсе Dynamic Directory для доступа ко всем разрешениям FreeIPA необходимо выбрать секцию "Управление ролевой моделью", далее в ней выбрать папку "Разрешения FreeIPA". В правой панели будут отображены все доступные разрешения FreeIPA, как показано на рисунке 152.

Рисунок 152 – Список доступных разрешений FreeIPA

Создание, изменение и удаление разрешений FreeIPA

Для этих операций пользователь должен иметь права на чтение, создание, изменение и удаление разрешений FreeIPA.

Операция доступна через все интерфейсы Системы.

Штатный веб-интерфейс FreeIPA не позволяет управлять разрешениями FreeIPA в Системе.

В CLI создание, изменение, удаление разрешений FreeIPA осуществляется с помощью команд вида:

$ ipa permission_[add/mod/del] [имя_разрешения] --[параметры] --[общие опции]

В графическом интерфейсе Dynamic Directory при выборе папки "Разрешения FreeIPA" в панели инструментов доступны все инструменты по созданию, изменению и удалению разрешений FreeIPA.

С помощью графического интерфейса Dynamic Directory можно создать новое разрешение FreeIPA. Для этого в контекстном меню необходимо выбрать пункт "Новое разрешение". После этого откроется соответствующее окно для ввода первоначальных данных о разрешении FreeIPA (рисунок 153).

Рисунок 153 – Окно создания разрешения

После заполнения данных разрешения необходимо нажать кнопку ОК в нижней части окна. Окно будет закрыто, в главном окне интерфейса будут отображены записи о разрешении.

Для изменения информации о разрешении необходимо, находясь в главном окне графического интерфейса Dynamic Directory, в правой панели вызвать контекстное меню нужного разрешения и выбрать пункт "Свойства". Будет открыто соответствующее окно (рисунок 154).

Рисунок 154 – Окно изменения данных разрешения

Кроме изменения основных атрибутов разрешения FreeIPA, в этом же окне доступны вкладки "Участники", "Фильтры", "Атрибуты" и "Привилегии".

Описание вкладки "Участники" доступно в п. Назначение ролей объектам настоящего документа.

При переходе на вкладку "Фильтры" можно определить фильтры, которые будут применяться к выбранному разрешению (рисунок 155).

Рисунок 155 – Назначение фильтров для разрешения FreeIPA

Для добавления фильтров нужно нажать кнопку Добавить. В появившемся окне "Введите параметр" можно задать выражения для фильтрации при применении разрешений и нажать кнопку ОК в соответствии с рисунком 156. На вкладке "Фильтры" появится выбранный ранее объект.

Для удаления объекта из перечня на вкладке "Фильтры" нужно выбрать объект и нажать кнопку Удалить.

Рисунок 156 – Окно для ввода дополнительного фильтра

На вкладке "Атрибуты" можно добавить атрибуты, на которые будут выдаваться права. Во вкладке доступна дополнительная панель инструментов, на которой отображены кнопки – Добавить и Удалить – для добавления и исключения атрибутов из перечня (рисунок 157).

Рисунок 157 – Добавление атрибутов для разрешения FreeIPA

На вкладке "Привилегии" можно добавить привилегии, к которым будет относиться разрешение. Во вкладке доступна дополнительная панель инструментов, на которой отображены кнопки – Добавить и Удалить – для добавления и исключения привилегий из перечня (рисунок 158).

Рисунок 158 – Добавление привилегий для разрешения FreeIPA

С помощью графического интерфейса Dynamic Directory можно удалить разрешение FreeIPA. Удаление объектов службы каталогов производится с помощью выбора объекта в правой панели и последующего нажатия в панели инструментов пиктограммы (крест). Система выдаст запрос на подтверждение удаления объекта. После положительного ответа объект будет удален из Системы.

Назначение разрешений для объектов

Для назначения разрешений пользователь должен иметь права на чтение, создание, изменение и удаление разрешений FreeIPA.

Для этой операции командная строка не предусмотрена.

Операция доступна через графический интерфейс Системы.

В левой части окна следует перейти к секции "Управление ролевыми моделями" и выбрать папку "Разрешения FreeIPA", содержащую все доступные разрешения FreeIPA. В правой части панели списка перейти к разрешению и выбрать из контекстного меню пункт "Свойства". В окне "Свойства объекта" (рисунок 159) для назначения разрешения объекту нужно перейти на вкладку "Участники" и нажать кнопку Добавить.

Рисунок 159 – Назначение разрешения объектам службы каталогов

В появившемся окне "Поиск объектов службы каталогов" нужно задать необходимые параметры для поиска, выбрать пользователя, группу пользователей или несколько групп и нажать кнопку ОК в соответствии с рисунком 160. На вкладке "Участники" появится выбранный ранее объект.

Рисунок 160 – Поиск объекта для назначения разрешения FreeIPA