Zum Hauptinhalt springen

Angepasste Rolle erstellen

Ein Rolle ist ein Satz von Berechtigungen zum Ausführen einer bestimmter Aktion. Lenovo XClarity Administrator enthält mehrere vordefinierte (Standard-) Rollen. Sie können auch angepasste Rollen erstellen, mit denen ein eindeutiger Berechtigungssatz für die vom Benutzer ausführbaren Aktionen erzwungen wird.

Vorbereitende Schritte

Sie benötigen die Berechtigung lxc-supervisor oder lxc-security-admin für die Ausführung dieses Tasks.

Zu dieser Aufgabe

Best Practice
Um eine benutzerdefinierte Rolle zu erstellen, wählen Sie eine oder mehrere vordefinierte Rollen aus, die dem Umfang der Rolle, die Sie erstellen möchten, am nächsten kommen, und löschen Sie dann die einzelnen Berechtigungen, die Sie einschränken möchten. Dadurch wird sichergestellt, dass Sie alle gewünschten Berechtigungen erhalten und die Rolle ordnungsgemäß mit abhängigen Berechtigungen erstellt wird.
Einige XClarity Administrator-Berechtigungen sind von den entsprechenden Berechtigungen für das Verwaltungsmodul abhängig, um Aktionen auf verwalteten Einheiten auszuführen (siehe Berechtigungen für Verwaltungsmodul v1 und Berechtigungen für Verwaltungsmodul v2). Mit einer XClarity Administrator-Berechtigung können Sie möglicherweise eine Aktion auf einem verwalteten Gerät anfordern, das die Anforderung jedoch verweigert, wenn Sie nicht über die entsprechenden Berechtigungen für CMM, IMM oder XCC verfügen. Wenn Sie beispielsweise eine benutzerdefinierte Rolle für die Ausführung von Stromversorgungsaktionen auf verwalteten Einheiten erstellen, können Sie die Berechtigung lxc-inventory-modify-device-power-state hinzufügen und folgende Schritte ausführen:
  • Fügen Sie für einen ThinkSystemserver-Server in einem Rack die Berechtigung mm-power-and-restart-access-v1 hinzu.

  • Fügen Sie für ein vollständiges Flex System Gehäuse (einschließlich Einheiten im Gehäuse) die Berechtigung mm-power-and-restart-access-v1 hinzu.

  • Fügen Sie für einen ThinkSystem-Server in einem Gehäuse mm-power-and-restart-access-v1 und mm-blade-operator-v2 sowie die Berechtigung mm-blade-#-scope-v2 hinzu, die dem Zielserver entspricht.

Alle Rollen enthalten Leseberechtigungen. Keine angepasste Rolle kann eingeschränkter als die Rolle lxc-operator sein.

Wenn ein Benutzer keine Berechtigungen zum Ausführen bestimmter Aktionen hat, sind Menüelemente, Symbolleistensymbole und Schaltflächen, die diese Aktionen ausführen, deaktiviert (abgeblendet).

XClarity Administrator stellt für jede vordefinierte Rolle eine Rollengruppe mit dem gleichen Namen wie die Rolle zur Verfügung. Für neue Gruppen, die Sie erstellen, können Sie eine Rollengruppe erstellen. Weitere Informationen zu Rollengruppen finden Sie unter Angepasste Rollengruppe erstellen.

  • lxc-supervisor. Benutzer, denen diese Rolle zugewiesen wird, können alle verfügbaren Vorgänge für den Verwaltungsserver und alle verwalteten Einheiten anzeigen, konfigurieren und durchführen.

    Benutzer, die denen diese Rolle zugeordnet wird, können immer auf alle verwalteten Einheiten zugreifen. Sie können den Zugriff auf Einheiten für diese Rolle nicht einschränken.

  • lxc-admin. Benutzer, denen diese Rolle zugewiesen wird, können nicht-sicherheitsbezogene Einstellungen ändern und entsprechende nicht-sicherheitsbezogene Vorgänge für den Verwaltungsserver ausführen (inkl. dem Aktualisieren und Neustarten des Verwaltungsservers). Diese Rolle umfasst zudem die Möglichkeit, alle Konfigurations‑ und Statusinformationen zum Verwaltungsserver und den verwalteten Einheiten anzuzeigen.
  • lxc-security-admin. Benutzer, denen diese Rolle zugeordnet wird, können Sicherheitseinstellungen ändern und sicherheitsrelevante Vorgänge für den Verwaltungsserver und die verwalteten Einheiten ausführen. Diese Rolle umfasst zudem die Möglichkeit, alle Konfigurations‑ und Statusinformationen zum Verwaltungsserver und den verwalteten Einheiten anzuzeigen.

    Benutzer, die denen diese Rolle zugeordnet wird, können immer auf alle verwalteten Einheiten zugreifen. Sie können den Zugriff auf Einheiten für diese Rolle nicht einschränken.

  • lxc-hw-admin. Benutzer, denen diese Rolle zugewiesen wird, können für die verwaltete Einheiten nicht-sicherheitsbezogene Vorgänge durchführen (inkl. Aktualisierung und Neustart der verwalteten Einheiten). Diese Rolle umfasst zudem die Möglichkeit, alle Konfigurations- und Statusinformationen zum Verwaltungsserver und allen verwalteten Einheiten anzuzeigen.
  • lxc-fw-admin. Benutzer, denen diese Rolle zugewiesen wird, können Firmware-Richtlinien erstellen und diese Richtlinien auf verwalteten Einheiten bereitstellen. Benutzer, denen diese Rolle nicht zugewiesen wurde, können nur die Richtlinieninformationen anzeigen.
  • lxc-os-admin. Benutzer mit dieser Rolle können Betriebssysteme und Einheitentreiberaktualisierungen auf verwaltete Server herunterladen und dort implementieren. Benutzer, denen diese Rolle nicht zugewiesen wurde, können nur die Betriebssystem‑ und Einheitentreiberinformationen anzeigen.
  • lxc-service-admin. Benutzer, denen diese Rolle zugewiesen werden, können Servicedateien für XClarity Administratorund verwaltete Einheiten sammeln und herunterladen. Benutzer, denen diese Rolle nicht zugewiesen werden, können Servicedaten sammeln, jedoch nicht herunterladen.
  • lxc-hw-manager. Benutzer, denen diese Rolle zugewiesen wird, können neue Einheiten ermitteln und diese Einheiten unter der Verwaltungssteuerung von XClarity Administrator platzieren. Diese Rolle verbietet dem Benutzer das Ausführen von Vorgängen oder das Ändern von Konfigurationseinstellungen für den Verwaltungsserver sowie die verwalteten Einheiten, abgesehen von Vorgängen, die zum Ermitteln und Verwalten neuer Einheiten notwendig sind.
  • lxc-operator. Benutzer, denen diese Rolle zugewiesen wird, können alle Konfigurations‑ und Statusinformationen zum Verwaltungsserver und den verwalteten Einheiten anzeigen. Diese Rolle verbietet dem Benutzer das Ausführen von Vorgängen oder das Ändern von Konfigurationseinstellungen für den Verwaltungsserver sowie verwaltete Einheiten.
  • lxc-recovery. Benutzer, denen diese Rolle zugeordnet wird, können Sicherheitseinstellungen ändern und sicherheitsrelevante Vorgänge für den Verwaltungsserver ausführen. Diese Benutzer können sich zusätzlich direkt am XClarity Administrator authentifizieren. Dies gilt auch dann, wenn die Authentifizierungsmethode auf einen externen LDAP-Server festgelegt ist. Diese Rolle stellt einen Wiederherstellungsmechanismus im Fall eines Übertragungsfehlers mit dem externen LDAP-Server bereit, der die Anmeldeinformationen-Konfiguration verwendet.

    Benutzer, die denen diese Rolle zugeordnet wird, können immer auf alle verwalteten Einheiten zugreifen. Sie können den Zugriff auf Einheiten für diese Rolle nicht einschränken.

Die folgenden vordefinierten Rollen sind reserviert und können nicht verwendet werden, um neue Rollengruppen zu erstellen oder diese den neuen Benutzer zuzuweisen.
  • lxc-sysrdr
  • lxc-sysmgr

Vorgehensweise

Führen Sie die folgenden Schritte aus, um eine angepasste Gruppe zu erstellen.

  1. Klicken Sie in der XClarity Administrator-Menüleiste auf Verwaltung > Sicherheit.
  2. Klicken Sie im Bereich „Benutzer und Gruppen“ auf Rollen, um die Seite „Rollenverwaltung“ anzuzeigen.

    Zeigt die Seite „Rollen“ an.
  3. Klicken Sie auf das Symbol Erstellen (Symbol „Erstellen“), um eine Rolle zu erstellen. Das Dialogfenster Angepasste Rolle erstellen wird angezeigt.

    Zeigt das Dialogfenster „Angepasste Rolle erstellen“ an.
  4. Geben Sie einen Rollennamen und eine Beschreibung ein.
  5. Optional: Wählen Sie eine vordefinierte Rolle als Ausgangspunkt für die angepasste Rolle aus.

    Bei Auswahl einer vorhandenen Rolle werden deren zugehörige Berechtigungen in diesem Dialogfenster ausgewählt.

  6. Ändern Sie die Berechtigungen für die neue Rolle, indem Sie Berechtigungen im Dropdown-Menü Weitere Berechtigungen auswählen aktivieren oder deaktivieren.
    Anmerkung
    Wenn Sie alle Berechtigungen einer bestimmten Kategorie ausgewählt haben und dieser Kategorie bei einem XClarity Administrator-Update oder -Upgrade weitere Berechtigungen hinzugefügt werden, werden diese neuen Berechtigungen automatisch zur angepassten Rolle hinzugefügt.
  7. Klicken Sie auf Erstellen. Die neue Rolle wird zur Tabelle auf der Seite „Rollenverwaltung“ hinzugefügt.

Ergebnisse

Sie können außerdem die folgenden Aktionen ausführen.
  • Zeigen Sie die Berechtigungen für eine bestimmte Rolle an, indem Sie die Rolle auswählen und auf das Symbol Anzeigen klicken (Symbol „Anzeigen“).
  • Benennen Sie die angepasste Rolle um oder bearbeiten Sie diese, indem Sie auf das Symbol Bearbeiten (Symbol „Bearbeiten“) klicken. Wenn Sie eine angepasste Rolle bearbeiten, können Sie die ausgewählten Berechtigungen, die Beschreibung und die Liste der Benutzer für diese Rolle ändern.
    Anmerkung
    Vordefinierte Rollen können nicht geändert werden.
  • Löschen Sie die vordefinierte oder angepasste Rolle über das Symbol Löschen (Symbol „Löschen“).
  • Fügen Sie Rollen zu einer Rollengruppe hinzu oder entfernen Sie welche daraus (siehe Hinzufügen und Entfernen mehrerer Benutzer bei einer Rollengruppe).
  • Stellen Sie alle gelöschten vordefinierten Rollen wieder her, indem Sie auf Alle Aktionen > Standardrollen wiederherstellen klicken.