« предыдущая тема   следующая тема »
Страницы: [1]

Автор Тема: FreeIPA запрет на изменение данных пользователем  (Прочитано 5519 раз)

Оффлайн wulfic

  • Начинающий
  • *
  • Сообщений: 7
FreeIPA запрет на изменение данных пользователем
« : 24.07.2020 10:27:23 »
Обнаружил что обычный пользователь состоящий в группе ipausers может менять свои данные: ФИО, оболочку входа, добавлять сертификаты и ssh ключи и тп.. Что конечно в корне не устраивает нас. Кто подскажет как это запретить? В инете литературы найти не удалось(
Записан

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 924
    • Домашняя страница
    • Email
Re: FreeIPA запрет на изменение данных пользователем
« Ответ #1 : 24.07.2020 11:12:35 »
Цитата: wulfic от 24.07.2020 10:27:23
Обнаружил что обычный пользователь состоящий в группе ipausers может менять свои данные: ФИО, оболочку входа, добавлять сертификаты и ssh ключи и тп.. Что конечно в корне не устраивает нас. Кто подскажет как это запретить? В инете литературы найти не удалось(
Удалить из группы.
Записан
Андрей Черепанов (cas@)

Оффлайн wulfic

  • Начинающий
  • *
  • Сообщений: 7
Re: FreeIPA запрет на изменение данных пользователем
« Ответ #2 : 24.07.2020 12:39:56 »
Цитата: Skull от 24.07.2020 11:12:35
Удалить из группы.
Не работает, да и звучит странно удалить пользователя из группы по умолчанию, как если бы в AD из группы "domain users"
Записан

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 924
    • Домашняя страница
    • Email
Re: FreeIPA запрет на изменение данных пользователем
« Ответ #3 : 24.07.2020 13:28:33 »
Цитата: wulfic от 24.07.2020 12:39:56
Цитата: Skull от 24.07.2020 11:12:35
Удалить из группы.
Не работает, да и звучит странно удалить пользователя из группы по умолчанию, как если бы в AD из группы "domain users"
Не вопрос. Тогда надо исправлять код freeipa. В этом я уже пас.
Записан
Андрей Черепанов (cas@)

Оффлайн wulfic

  • Начинающий
  • *
  • Сообщений: 7
Re: FreeIPA запрет на изменение данных пользователем
« Ответ #4 : 27.07.2020 12:11:04 »
https://directory.fedoraproject.org/docs/389ds/howto/howto-accesscontrol.html
Нашел небольшую информацию, пока не разобрался куда вставлять конфиг из примера..
Код: [Выделить]
dn: dc=example,dc=com
objectClass: top
objectClass: organization
aci: (targetattr="departmentNumber || manager")(targetfilter="(businessCategor
 y=group1)")(version 3.0; acl "group1-admins-write"; allow (write)groupdn ="ld
 ap:///cn=group1 admins, dc=sometest";)
Записан

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 924
    • Домашняя страница
    • Email
Re: FreeIPA запрет на изменение данных пользователем
« Ответ #5 : 27.07.2020 17:06:09 »
Цитата: wulfic от 27.07.2020 12:11:04
https://directory.fedoraproject.org/docs/389ds/howto/howto-accesscontrol.html
Нашел небольшую информацию, пока не разобрался куда вставлять конфиг из примера..
Код: [Выделить]
dn: dc=example,dc=com
objectClass: top
objectClass: organization
aci: (targetattr="departmentNumber || manager")(targetfilter="(businessCategor
 y=group1)")(version 3.0; acl "group1-admins-write"; allow (write)groupdn ="ld
 ap:///cn=group1 admins, dc=sometest";)
через ldapmodify в 389-ds.
Записан
Андрей Черепанов (cas@)

Оффлайн wulfic

  • Начинающий
  • *
  • Сообщений: 7
Re: FreeIPA запрет на изменение данных пользователем
« Ответ #6 : 28.07.2020 12:44:17 »
 в веб интерфейсе FreeIPA в разделе IPA-сервер --> Разрешение самообслуживания. Там можно выставить разрешения по умолчанию.
Записан
Страницы: [1]
« предыдущая тема   следующая тема »