Control de acceso a dispositivos específicos
Cuando Lenovo XClarity Administrator gestiona los dispositivos por primera vez, un conjunto de grupos de roles predefinidos tienen permiso para acceder a los dispositivos de forma predeterminada. Cambie los grupos de roles a los que se pueden acceder a los dispositivos gestionados específicos. Cuando se concede permiso a ciertos grupos de roles, solo los usuarios que son miembros de esos grupos de roles pueden ver y operar en esos dispositivos específicos.
Antes de empezar
Solo los usuarios con las autoridades lxc-supervisor, lxc-security-admin o lxc-recovery pueden realizar esta acción.
Acerca de esta tarea
Control de acceso está configurado en dispositivos individuales. No está configurado para contenedores, como bastidores y grupos de recursos.
Para los componentes en un chasis o alojamiento, los usuarios deben tener acceso al menos de solo lectura para el chasis o al alojamiento para los componentes de la vista de dicho chasis o del alojamiento. Si los usuarios no tiene como mínimo acceso de solo lectura al chasis o alojamiento, estos usuarios pueden ver los componentes en algunas vistas, pero no se garantiza que aparece en todas las vistas.
Los usuarios con autoridad de lxc-supervisor pueden ver y realizar acciones en todos los recursos, independientemente de si se encuentran en un grupo de roles a los que ha concedido acceso específicamente a dicho recurso. No se puede quitar el acceso a los recursos del grupo de roles lxc-supervisor.
Si un usuario no es miembro de un grupo de roles que tiene acceso a un dispositivo gestionado específico, el usuario no puede ver o realizar acciones en ese dispositivo específico. Esto incluye iniciar la interfaz web del controlador de gestión mediante Lenovo XClarity Administrator. En dispositivos Flex y System x, los usuarios tampoco pueden iniciar sesión directamente en un CMM o en un controlador de gestión para los cuales no tienen acceso.
Se utilizan los valores predeterminados de control de acceso para configurar los permisos de acceso a los dispositivos que gestiona inicialmente XClarity Administrator y durante el restablecimiento a los valores predeterminados de los permisos de acceso para un dispositivo específico. Cambiar los valores de control de acceso predeterminados no modifica los permisos de acceso de los dispositivos que ya se estén gestionando.
Si un usuario es miembro de más de un grupo de roles y los grupos de roles se asignan a los distintos dispositivos, las acciones que pueden realizar los usuarios en cada dispositivo pueden diferir. Por ejemplo, si el usuario es miembro del grupo de roles predeterminado LXC-FW-ADMIN y LXC-OS-ADMIN y si, además de esto, se otorga acceso a LXC-FW-ADMIN al servidor A, pero no se otorga acceso a ese mismo servidor a LXC-OS-ADMIN, ese usuario podrá actualizar el firmware en el servidor A, pero no podría desplegar un sistema operativo en el mismo servidor. Si se otorgó acceso a LXC-OS-ADMIN al servidor B, pero no se otorgó acceso a LXC-FW-ADMIN al mismo servidor, entonces ese mismo usuario debiese poder desplegar un sistema operativo en el servidor B, pero no podría actualizar el firmware en dicho servidor.
Cuando se limita el acceso a un dispositivo que tiene un recurso principal (por ejemplo, un servidor o un conmutador en del chasis de Flex), un usuario debe tener permisos al menos de solo lectura del recurso primario para interactuar completamente con el dispositivo. Si un usuario tiene acceso al menos de solo lectura para el dispositivo, pero no el primario, el usuario no podrá ver las vistas de inventario de dispositivos, pero es posible que pueda consultar acerca del dispositivo en algunas vistas, como los sucesos y trabajos.
Por ejemplo, puede crear un grupo de roles para el principal y asignar ese grupo de roles del rol lxc-operador. Incluya todos los usuarios que deben tener acceso a alguno de los elementos secundarios (por ejemplo, un servidor o un conmutador en del chasis de Flex), en ese grupo de roles. Luego, incluya ese grupo de roles como uno de los grupos que tiene acceso al primario.
Procedimiento
Lleve a cabo los siguientes procedimientos para controlar el acceso a dispositivos específicos mediante la asociación de grupos de roles con estos dispositivos.
Después de finalizar
También puede controlar el acceso a dispositivos llevando a cabo las siguientes acciones:
Cambie los permisos a los grupos de roles y a la configuración de acceso público predeterminados haciendo clic en el icono Editar () y, a continuación, haga clic en Restablecer a valores predeterminados.
Cambie el grupo de roles y la configuración de acceso público predeterminados (consulte Cambiar los permisos predeterminados.).
Deshabilite el control de acceso a recursos haciendo clic en el icono de alternación Habilitado para cambiar Control de acceso a recursos a deshabilitado. Esto significa que todos los grupos de roles pueden acceder a todos los dispositivos gestionados.