Saltar al contenido principal

Creación de un rol personalizado

Un rol es un conjunto de privilegios, o permisos para realizar una acción específica. Lenovo XClarity Administrator incluye varios roles predefinidos (predeterminados). También puede crear roles personalizados que hacen cumplir un único conjunto de privilegios de que los usuarios pueden realizar.

Antes de empezar

Debe tener autoridad de lxc-supervisor o lxc-security-admin para realizar esta tarea.

Acerca de esta tarea

Práctica recomendada
Para crear un rol personalizado, seleccione uno o varios roles predefinidos que tengan el alcance más cercano al rol que desee crear y luego borre los privilegios individuales que desee restringir. De este modo se garantiza que se obtengan todos los privilegios que se van a realizar y que el rol se construye correctamente con privilegios dependientes.
Algunos privilegios XClarity Administrator dependen de los privilegios del módulo de gestión correspondientes para realizar acciones en los dispositivos gestionados (consulte Privilegios de módulo de gestión v1 y Privilegios de módulo de gestión v2). Un privilegio XClarity Administrator puede permitirle solicitar una acción en un dispositivo gestionado, pero el dispositivo rechazará la solicitud si no dispone de los privilegios correspondientes para el CMM, el IMM o XCC. Por ejemplo, si crea un rol personalizado para realizar acciones de alimentación en dispositivos gestionados, debe añadir el privilegio lxc-inventory-modify-device-power-state y:
  • Para un servidor ThinkSystem en un bastidor, añada el privilegio mm-power-and-restart-access-v1.

  • Para un chasis de Flex System completo (incluidos los dispositivos del chasis), añada el privilegio mm-power-and-restart-access-v1.

  • Para un servidor ThinkSystem en un chasis, añada mm-power-and-restart-access-v1, mm-blade-operator-v2 y el privilegio mm-blade-#-scope-v2 que coincide con el servidor de destino.

Todos los roles contienen privilegios de solo lectura. Ningún rol personalizado puede ser más restrictivo que el rol de lxc-operator.

Si un usuario no tiene privilegios para realizar acciones específicas, los elementos del menú, los iconos de la barra de herramientas y los botones que ejecutan esas acciones están deshabilitados (atenuados).

XClarity Administrator proporciona un grupo de roles para cada rol predefinido, utilizando el mismo nombre que el rol. Considere la posibilidad de crear un grupo de roles para los nuevos roles que cree. Para obtener más información acerca de los grupos de roles, consulte Creación de un grupo de roles personalizado.

  • lxc-supervisor. Los usuarios que tienen asignado este rol pueden acceder, configurar y realizar todas las operaciones disponibles en el servidor de gestión y en todos los dispositivos gestionados.

    Los usuarios que tienen asignado este rol siempre tienen acceso a todos los dispositivos gestionados. No se puede restringir el acceso a los dispositivos para este rol.

  • lxc-admin. Los usuarios que tienen asignado este rol pueden modificar los valores no relacionados con la seguridad y realizar todas las operaciones no relacionadas con la seguridad en el servidor de gestión, incluida la capacidad para actualizar y reiniciar el servidor de gestión. Este rol también proporciona la capacidad para ver toda la información de estado y configuración en el servidor de gestión y en los dispositivos gestionados.
  • lxc-security-admin. Los usuarios que tienen asignado este rol pueden modificar los valores de seguridad y realizar las operaciones relacionadas con la seguridad en el servidor de gestión y en todos los dispositivos gestionados. Este rol también proporciona la capacidad para ver toda la información de estado y configuración en el servidor de gestión y en los dispositivos gestionados.

    Los usuarios que tienen asignado este rol siempre tienen acceso a todos los dispositivos gestionados. No se puede restringir el acceso a los dispositivos para este rol.

  • lxc-hw-admin. Los usuarios que tienen asignado este rol pueden modificar los valores no relacionados con la seguridad y realizar las operaciones no relacionadas con la seguridad en los dispositivos gestionados, incluida la capacidad para actualizar y reiniciar los dispositivos gestionados. Este rol también proporciona la capacidad para ver toda la información de estado y configuración en el servidor de gestión y en todos los dispositivos gestionados.
  • lxc-fw-admin. Los usuarios a quienes se les asigna este rol pueden crear políticas de firmware y desplegarlas en los dispositivos gestionados. Los usuarios que no están asignados a este rol solo pueden ver información de la política.
  • lxc-os-admin. Los usuarios a quienes se les asigna este rol pueden descargar y desplegar sistemas operativos y actualizaciones de controladores de dispositivos en los servidores gestionados. Los usuarios que no están asignados a este rol solo pueden ver información del sistema operativo y el controlador de dispositivo.
  • lxc-service-admin. Los usuarios que se asignaron este rol pueden recopilar y descargar archivos de servicio para XClarity Administrator y los dispositivos gestionados. Los usuarios que no están asignados a este rol pueden recopilar, pero no descargar datos de servicio.
  • lxc-hw-manager. Los usuarios que tienen asignado este rol pueden detectar nuevos dispositivos y dejarlos bajo el control de gestión de XClarity Administrator. Este rol prohíbe a los usuarios realizar operaciones o modificar los valores de las configuraciones en el servidor de gestión y los dispositivos gestionados, más allá de dichas operaciones necesarias para detectar y gestionar dispositivos nuevos.
  • lxc-operator. Los usuarios que tienen asignado este rol pueden ver toda la información de estado y configuración del servidor de gestión y en los dispositivos gestionados. Este rol prohíbe a los usuarios realizar cualquier operación o modificar los valores de configuración en el servidor de gestión y en dispositivos gestionados.
  • lxc-recovery. Los usuarios que tienen asignado este rol pueden modificar los valores de seguridad y realizar las operaciones relacionadas con la seguridad en el servidor de gestión. Estos usuarios también se pueden autenticar directamente en XClarity Administrator incluso si el método de autenticación se configura en un servidor LDAP externo. Este rol proporciona un mecanismo de recuperación en caso de que ocurra un error de comunicación con el servidor LDAP externo que utiliza la configuración de Credenciales de inicio de sesión.

    Los usuarios que tienen asignado este rol siempre tienen acceso a todos los dispositivos gestionados. No se puede restringir el acceso a los dispositivos para este rol.

Los siguientes roles predefinidos están reservados y no se pueden usar para crear nuevos grupos de roles o asignarse a nuevos usuarios.
  • lxc-sysrdr
  • lxc-sysmgr

Procedimiento

Para crear un rol personalizado, complete los pasos siguientes.

  1. En la barra de menús de XClarity Administrator , haga clic en Administración > Seguridad.
  2. Haga clic en Roles en la sección Usuarios y grupos para mostrar el cuadro de diálogo Gestión de roles.

    Muestra la página Roles.
  3. Haga clic en el icono Crear (Icono Crear) para crear un rol. Se muestra el cuadro de diálogo Create Custom Role Crear rol predeterminado.

    Muestra el cuadro de diálogo Create Custom Role (Crear rol de personalizado).
  4. Escriba un nombre de rol y una descripción.
  5. Opcional: Seleccione un rol predefinido que se usará como punto de partida para este rol personalizado.

    Si selecciona un rol existente, los privilegios que están asociados con esa función se seleccionan en el cuadro de diálogo.

  6. Modificar los privilegios para el nuevo rol activando o desactivando privilegios del menú desplegable Seleccionar privilegios adicionales.
    Nota
    Si selecciona todos los privilegios de categoría específica y se agregan privilegios se añaden la categoría al actualizar o mejorar XClarity Administrator, los nuevos privilegios se agregan automáticamente al rol personalizado
  7. Haga clic en Crear. El rol nuevo se añade a la tabla de la página Gestión de roles.

Resultados

También puede llevar a cabo las siguientes acciones.
  • Ver los privilegios asociados con un rol específico seleccionando el rol y pulsando el ícono Ver (Icono Vista).
  • Cambiar el nombre del rol personalizado o editarlo haciendo clic en el icono Editar (Icono Editar). Cuando se modifica un rol personalizado, puede cambiar los privilegios seleccionados, la descripción y la lista de usuarios que están asociados con el rol.
    Nota
    No puede modificar un rol predefinido
  • Eliminar el grupo de roles predefinido o personalizado haciendo clic en el icono Eliminar (Icono Eliminar).
  • Agregar o eliminar las funciones de un grupo de roles (consulte Agregar y quitar varios usuarios desde un grupo de roles).
  • Restaurar todos los roles predefinidos que se hayan eliminado haciendo clic en Todas las acciones > Restaurar roles predeterminados.