Saltar al contenido principal

Control de acceso a dispositivos específicos

Cuando Lenovo XClarity Administrator gestiona los dispositivos por primera vez, un conjunto de grupos de roles predefinidos tienen permiso para acceder a los dispositivos de forma predeterminada. Cambie los grupos de roles a los que se pueden acceder a los dispositivos gestionados específicos. Cuando se concede permiso a ciertos grupos de roles, solo los usuarios que son miembros de esos grupos de roles pueden ver y operar en esos dispositivos específicos.

Antes de empezar

Solo los usuarios con las autoridades lxc-supervisor, lxc-security-admin o lxc-recovery pueden realizar esta acción.

Acerca de esta tarea

Control de acceso está configurado en dispositivos individuales. No está configurado para contenedores, como bastidores y grupos de recursos.

Para los componentes en un chasis o alojamiento, los usuarios deben tener acceso al menos de solo lectura para el chasis o al alojamiento para los componentes de la vista de dicho chasis o del alojamiento. Si los usuarios no tiene como mínimo acceso de solo lectura al chasis o alojamiento, estos usuarios pueden ver los componentes en algunas vistas, pero no se garantiza que aparece en todas las vistas.

Los usuarios con autoridad de lxc-supervisor pueden ver y realizar acciones en todos los recursos, independientemente de si se encuentran en un grupo de roles a los que ha concedido acceso específicamente a dicho recurso. No se puede quitar el acceso a los recursos del grupo de roles lxc-supervisor.

Si un usuario no es miembro de un grupo de roles que tiene acceso a un dispositivo gestionado específico, el usuario no puede ver o realizar acciones en ese dispositivo específico. Esto incluye iniciar la interfaz web del controlador de gestión mediante Lenovo XClarity Administrator. En dispositivos Flex y System x, los usuarios tampoco pueden iniciar sesión directamente en un CMM o en un controlador de gestión para los cuales no tienen acceso.

Se utilizan los valores predeterminados de control de acceso para configurar los permisos de acceso a los dispositivos que gestiona inicialmente XClarity Administrator y durante el restablecimiento a los valores predeterminados de los permisos de acceso para un dispositivo específico. Cambiar los valores de control de acceso predeterminados no modifica los permisos de acceso de los dispositivos que ya se estén gestionando.

Importante
  • Si un usuario es miembro de más de un grupo de roles y los grupos de roles se asignan a los distintos dispositivos, las acciones que pueden realizar los usuarios en cada dispositivo pueden diferir. Por ejemplo, si el usuario es miembro del grupo de roles predeterminado LXC-FW-ADMIN y LXC-OS-ADMIN y si, además de esto, se otorga acceso a LXC-FW-ADMIN al servidor A, pero no se otorga acceso a ese mismo servidor a LXC-OS-ADMIN, ese usuario podrá actualizar el firmware en el servidor A, pero no podría desplegar un sistema operativo en el mismo servidor. Si se otorgó acceso a LXC-OS-ADMIN al servidor B, pero no se otorgó acceso a LXC-FW-ADMIN al mismo servidor, entonces ese mismo usuario debiese poder desplegar un sistema operativo en el servidor B, pero no podría actualizar el firmware en dicho servidor.

  • Cuando se limita el acceso a un dispositivo que tiene un recurso principal (por ejemplo, un servidor o un conmutador en del chasis de Flex), un usuario debe tener permisos al menos de solo lectura del recurso primario para interactuar completamente con el dispositivo. Si un usuario tiene acceso al menos de solo lectura para el dispositivo, pero no el primario, el usuario no podrá ver las vistas de inventario de dispositivos, pero es posible que pueda consultar acerca del dispositivo en algunas vistas, como los sucesos y trabajos.

    Por ejemplo, puede crear un grupo de roles para el principal y asignar ese grupo de roles del rol lxc-operador. Incluya todos los usuarios que deben tener acceso a alguno de los elementos secundarios (por ejemplo, un servidor o un conmutador en del chasis de Flex), en ese grupo de roles. Luego, incluya ese grupo de roles como uno de los grupos que tiene acceso al primario.

Procedimiento

Lleve a cabo los siguientes procedimientos para controlar el acceso a dispositivos específicos mediante la asociación de grupos de roles con estos dispositivos.

  1. En el menú principal de Lenovo XClarity Administrator, haga clic en Administración > Seguridad.
  2. Haga clic en Vista de recursos en el panel de navegación izquierdo. Aparece la página Vista de recursos.

    Puede ordenar las columnas de la tabla para que sea más fácil encontrar dispositivos específicos. Además, puede seleccionar un tipo de dispositivo en el menú desplegable Tipo de recurso, seleccionar un rol de grupo en el menú desplegable Grupos de roles, seleccionar un grupo de recursos en el menú desplegable Grupos de recursos e introducir texto (como un nombre de recurso o de tipo) en el campo Filtro para obtener una lista de dispositivos limitada a solo aquellos que cumplen los criterios seleccionados.

  3. Seleccione uno o varios dispositivos en los que desee controlar el acceso.
  4. Haga clic en el icono Editar (Icono Editar). Se muestra el cuadro de diálogo Editar grupos de recursos con los dispositivos objetivo en el campo Nombre de recurso.
  5. En la lista desplegable Grupos de roles, seleccione los Grupos de roles para los cuales desea acceder a los dispositivos objetivo.
    Nota
    Si el dispositivo tiene un recurso principal (por ejemplo, un servidor o un conmutador en un chasis de Flex), puede especificar el acceso para el recurso primario (columna izquierda) y el dispositivo (derecha).
  6. Establezca Acceso público a No. Esto significa que solo los usuarios que son miembros de los grupos de roles seleccionados tienen acceso a los dispositivos objetivo.
  7. Haga clic en Guardar.
  8. Después de terminar la asignación de permisos, haga clic en el icono de alternación Deshabilitado para cambiar Control de acceso a recursos a habilitado.

    Puede habilitar el control de acceso a recursos en cualquier momento, antes o después de configurar el acceso a dispositivos específicos. Cuando esta opción está habilitada, la configuración que se muestra en la tabla se aplica, lo que incluye denegar el acceso de todos los usuarios sin categoría de supervisor a todos los dispositivos que no tengan grupos configurados para acceder a ellos.

Después de finalizar

También puede controlar el acceso a dispositivos llevando a cabo las siguientes acciones:

  • Cambie los permisos a los grupos de roles y a la configuración de acceso público predeterminados haciendo clic en el icono Editar (Icono Editar) y, a continuación, haga clic en Restablecer a valores predeterminados.

  • Cambie el grupo de roles y la configuración de acceso público predeterminados (consulte Cambiar los permisos predeterminados.).

  • Deshabilite el control de acceso a recursos haciendo clic en el icono de alternación Habilitado para cambiar Control de acceso a recursos a deshabilitado. Esto significa que todos los grupos de roles pueden acceder a todos los dispositivos gestionados.