FreeIPA / RedHatIdMでLDAP属性の読み取りを自分自身に制限する

私たちの環境では、employeeNumberは機密性の高いフィールドであり、すべてのユーザーが読み取れるようにしたくありません。デフォルトでは、IdM/IPAにはデフォルトの権限がありますSystem: Read User Addressbook AttributesこれにはemployeeNumber属性が含まれていますが、削除しました（IPA Webインターフェイスを使用）。これには、ユーザーが自分のemployeeNumberを表示できなくなるという意図しない副作用がありました。

手動でACI（(targetattr = "employeeNumber")(version 3.0;acl "User: Read own employeeNumber";allow (read) userdn = "ldap:///self";)）これにより、ユーザーは自分のemployeeNumberへのこのアクセス権を取り戻すことができますが、IPAインターフェースでこれを行うことをお勧めします。ユーザーに何かへの読み取り専用アクセスを許可するためのオプションが含まれているようには見えません。セルフサービス設定でも、書き込みアクセスのみが許可され、読み取りアクセスは許可されません。