Zum Hauptinhalt springen

Zugriff auf bestimmte Einheiten steuern

Wenn Einheiten zunächst von Lenovo XClarity Administrator verwaltet werden, hat ein vordefinierter Satz von Rollengruppen standardmäßig die Zugriffsberechtigung für die Einheiten. Sie können die Rollengruppen ändern, die auf bestimmte verwaltete Einheiten zugreifen können. Wenn bestimmten Rollengruppen eine Berechtigung erteilt wird, können nur diejenigen Benutzer diese bestimmten Einheiten sehen und verwenden, die Mitglieder dieser Rollengruppen sind.

Vorbereitende Schritte

Nur Benutzer mit der Berechtigung lxc-supervisor, lxc-security-admin oder lxc-recovery können diese Aktion ausführen.

Zu dieser Aufgabe

Die Zugriffssteuerung wird auf einzelnen Einheiten festgelegt. Sie wird nicht für Container festgelegt, wie z. B. Racks und Ressourcengruppen.

Für Komponenten in einem Gehäuse müssen Benutzer mindestens Lesezugriff für das Gehäuse haben, um die Komponenten in diesem Gehäuse anzeigen zu können. Wenn Benutzer nicht mindestens Lesezugriff für das Gehäuse haben, können sie die Gehäusekomponenten möglicherweise in einigen, jedoch nicht allen Ansichten sehen.

Unabhängig davon, ob sie in einer Rollengruppe sind, der explizit Zugriff auf diese Ressource gewährt wurde, können Benutzer mit der Berechtigung lxc-supervisor alle Ressourcen sehen und verwenden. Bei der Rollengruppe lxc-supervisor ist es nicht möglich, den Zugriff auf Ressourcen zu entfernen.

Wenn ein Benutzer nicht Mitglied einer Rollengruppe ist, die Zugriff auf eine bestimmte verwaltete Einheit hat, kann der Benutzer diese bestimmte Einheit nicht sehen oder verwenden. Dazu zählt das Starten der Management-Controller-Webschnittstelle über Lenovo XClarity Administrator. Bei Flex‑ und System x-Einheiten können Benutzer sich nicht direkt an einem CMM oder Management-Controller anmelden, auf den sie keinen Zugriff haben.

Die Standard-Zugriffssteuerungseinstellungen werden verwendet, um Zugriffsberechtigungen auf Einheiten festzulegen, wenn sie zunächst von XClarity Administrator verwaltet werden und die Zugriffsberechtigungen für eine bestimmte Einheit auf die Standardeinstellungen zurückgesetzt werden. Das Ändern der Standard-Zugriffssteuerungseinstellungen ändert nicht automatisch die Zugriffsberechtigungen auf Einheiten, die bereits verwaltet werden.

Wichtig

  • Wenn ein Benutzer Mitglied von mehr als einer Rollengruppe ist und die Rollengruppen verschiedenen Einheiten zugeordnet sind, können sich die Aktionen unterscheiden, die der Benutzer auf den jeweiligen Einheiten ausführen darf. Wenn der Benutzer z. B. Mitglied der Standardrollengruppen „LXC-FW-ADMIN“ und „LXC-OS-ADMIN“ ist und der Rollengruppe „LXC-FW-ADMIN“ Zugriff auf Server A gewährt wurde, der Rollengruppe „LXC-OS-ADMIN“ jedoch nicht, könnte dieser Benutzer die Firmware auf Server A aktualisieren, aber kein Betriebssystem auf Server A implementieren. Wenn der Rollengruppe „LXC-OS-ADMIN“ Zugriff auf Server B gewährt wurde, der Rollengruppe „LXC-FW-ADMIN“ jedoch nicht, könnte derselbe Benutzer auf Server B ein Betriebssystem implementieren, aber keine Firmware auf Server B aktualisieren.

  • Wenn Sie den Zugriff auf eine Einheit beschränken, die eine übergeordnete Ressource aufweist (z. B. einen Server oder Switch in einem Flex-Gehäuse), muss ein Benutzer mindestens Leseberechtigungen für die übergeordnete Ressource haben, um vollständig mit der Einheit interagieren zu können. Falls der Benutzer mindestens Lesezugriff auf die Einheit, aber nicht auf das übergeordnete Element hat, kann er keine Ansichten für den Einheitenbestand anzeigen, aber Informationen zur Einheit (wie Jobs und Ereignisse) in anderen Ansichten finden.

    Beispielsweise können Sie für das übergeordnete Element eine Rollengruppe erstellen und dieser die Rolle lxc-operator zuweisen. Nehmen Sie alle Benutzer, die Zugriff auf die untergeordneten Elemente (z. B. einen Server oder Switch in einem Flex-Gehäuse) haben sollen, in diese Rollengruppe auf. Binden Sie anschließend diese Rollengruppe als eine der Gruppen, die Zugriff auf das übergeordnete Element haben, ein.

Vorgehensweise

Gehen Sie wie folgt vor, um den Zugriff auf bestimmte Einheiten zu steuern, indem Sie diesen Einheiten Rollengruppen zuordnen.

  1. Klicken Sie im Hauptmenü von Lenovo XClarity Administrator auf Verwaltung > Sicherheit.
  2. Klicken Sie im linken Navigationsfenster auf Ressourcenanzeige. Die Seite „Ressourcenanzeige“ wird angezeigt.

    Sie können die Tabellenspalten sortieren, um die Suche nach bestimmten Einheiten zu erleichtern. Darüber hinaus können Sie einen Einheitentyp im Dropdown-Menü Ressourcentyp auswählen, eine Rollengruppe im Dropdown-Menü Rollengruppen auswählen, eine Ressourcengruppe im Dropdown-Menü Ressourcengruppen auswählen und Text im Feld Filter eingeben (z. B. einen Ressourcennamen oder ‑typ), um nur die Einheiten anzuzeigen, die die ausgewählten Kriterien erfüllen.

  3. Wählen Sie mindestens eine Einheit aus, für die der Zugriff gesteuert werden soll.
  4. Klicken Sie auf das Symbol Bearbeiten (Symbol „Bearbeiten“). Das Dialogfenster „Ressource bearbeiten“ wird mit den Zieleinheiten angezeigt, die im Feld Ressourcenname aufgeführt sind.
  5. Wählen Sie in der Dropdown-Liste Rollengruppen die Rollengruppen aus, denen Sie den Zugriff auf die Zieleinheiten erteilen möchten.
    Anmerkung
    Wenn die Einheit eine übergeordnete Ressource aufweist (z. B. einen Server oder Switch in einem Flex-Gehäuse), können Sie den Zugriff für die Einheit (rechten Spalte) und die übergeordnete Ressource (linke Spalte) angeben.
  6. Legen Sie Öffentlicher Zugriff auf No fest. Dies bedeutet, dass nur Benutzer auf die Zieleinheiten zugreifen können, die Mitglieder der ausgewählten Rollengruppen sind.
  7. Klicken Sie auf Speichern.
  8. Klicken Sie nach dem Zuweisen der Berechtigungen auf die Umschalt-Schaltfläche Deaktiviert, um die Ressourcenzugriffssteuerung zu aktivieren.

    Sie können die Ressourcenzugriffssteuerung jederzeit aktivieren – sowohl bevor als auch nachdem Sie den Zugriff auf bestimmte Einheiten konfiguriert haben. Wenn diese Einstellung aktiviert ist, ist die in der Tabelle angezeigte Konfiguration wirksam. Dazu zählt auch die Zugriffsverweigerung für Benutzer ohne supervisor-Berechtigung für alle Einheiten, denen keine Gruppen mit Zugriffsberechtigung zugeordnet sind.

Nach dieser Aufgabe

Sie können den Zugriff auf Einheiten auch mit den folgenden Aktionen steuern:

  • Ändern Sie die Berechtigungen zu den Standardrollengruppen und der Standardeinstellung für den öffentlichen Zugriff, indem Sie auf das Symbol Bearbeiten (Symbol „Bearbeiten“) und anschließend auf Auf Standardwerte zurücksetzen klicken.

  • Ändern Sie die Standardrollengruppe und Standardeinstellung für den öffentlichen Zugriff (siehe Standardberechtigungen ändern).

  • Deaktivieren Sie die Ressourcenzugriffssteuerung, indem Sie auf die Umschalt-Schaltfläche Aktiviert klicken und so die Ressourcenzugriffssteuerung deaktivieren. Anschließend haben alle Rollengruppen Zugriff auf alle verwalteten Einheiten.