在 FreeIPA/RedHat IdM 中限制 LDAP 屬性讀取到自身

在我們的環境中，employeeNumber是一個敏感欄位，我們不希望所有使用者都可以讀取它。預設情況下，IdM/IPA 具有System: Read User Addressbook Attributes包含employeeNumber 屬性的預設權限，但我們將其刪除（使用IPA Web 界面）。這產生了不再允許使用者查看他們自己的employeeNumber.

我知道我可以手動創建一個ACI( (targetattr = "employeeNumber")(version 3.0;acl "User: Read own employeeNumber";allow (read) userdn = "ldap:///self";)) 來讓使用者重新獲得對他們自己的訪問權限employeeNumber，但我更願意在 IPA 界面中執行此操作。我似乎找不到任何包含的選項來授予使用者對某些內容的只讀訪問權限 - 甚至是自助服務設置，但這僅提供寫訪問權限，但不提供讀訪問權限。

使用 selfservice 命令系列：

ipa selfservice-add 'user can read employeeNumber' --attrs=employeeNumber --permissions=read

引用自：https://serverfault.com/questions/742994