<div><br></div><div>I think controlling Visibility of tabs would be the best option, if possible, based on Roles as mentioned by Rob. As long as other entries are not visible in UI, even though they have read only access with command line, should be enough.</div>
<br><br>On Monday, April 15, 2013, Alexander Bokovoy  wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, 15 Apr 2013, Petr Spacek wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 15.4.2013 15:39, Rob Crittenden wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
There is no easy way to do this. We start with granting all authenticated<br>
users read access to the tree with the exception of certain attributes (like<br>
passwords).<br>
<br>
You'd have to start by removing that, then one by one granting read access to<br>
the various containers based on, well, something.<br>
</blockquote>
<br>
Would it be possible to create a new role to allow current 'read-all access' and add this role to all users by default?<br>
<br>
It could be much simpler to change the behaviour with this role, or not? :-)<br>
</blockquote>
It would affect service accounts (include host/fqdn@REALM) since roles<br>
cannot be applied to them, if I remember correctly. We would need to<br>
make an exclusive ACI that allows all services to gain read only access...<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
<br>
______________________________<u></u>_________________<br>
Freeipa-users mailing list<br>
<a>Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><br>
</blockquote>
<br><br>-- <br><br><div>--</div><div><a href="http://about.me/chandank" target="_blank">http://about.me/chandank</a><br></div><br>