Aller au contenu principal

Création d'un rôle personnalisé

Un rôle est un ensemble de privilèges, ou d'autorisation, pour réaliser une action spécifique. Lenovo XClarity Administrator inclut plusieurs rôles prédéfinis par défaut. Vous pouvez créer des rôles personnalisés qui appliquent un ensemble de privilèges que les utilisateurs peuvent exploiter.

Avant de commencer

Vous devez disposer de droits lxc-supervisor ou lxc-security-admin pour réaliser cette tâche.

À propos de cette tâche

Meilleure pratique
Pour créer un rôle personnalisé, sélectionnez un ou plusieurs rôles prédéfinis qui sont les plus proches de la portée pour le rôle que vous souhaitez créer, puis désélectionnez les privilèges individuels que vous souhaitez limiter. Cela garantit que vous obtenez tous les privilèges prévus et que le rôle est correctement construit avec les privilèges dépendants.
Certains privilèges XClarity Administrator dépendent des privilèges du module de gestion correspondants pour effectuer des actions sur les appareils gérés (voir Privilèges de module de gestion v1 et Privilèges de module de gestion v2). Un privilège XClarity Administrator peut vous permettre de demander une action sur un appareil géré, mais l’appareil refusera la demande si vous ne disposez pas des privilèges correspondants pour le module CMM, IMM ou XCC. Par exemple, si vous créez un rôle personnalisé pour effectuer des actions d’alimentation sur des appareils gérés, vous ajoutez le privilège lxc-inventory-modify-device-power-state et :
  • Pour un serveur ThinkSystem dans une armoire, ajoutez le privilège mm-power-and-restart-access-v1.

  • Pour un châssis Flex System entier (y compris les appareils du châssis), ajoutez le privilège mm-power-and-restart-access-v1.

  • Pour un serveur ThinkSystem dans un châssis, ajoutez le privilège mm-power-and-restart-access-v1, mm-blade-operator-v2 et mm-blade-#-scope-v2 qui correspond au serveur cible.

Tous les rôles contiennent des privilèges en lecture seule. Aucun rôle personnalisé ne peut être plus restrictif que le rôle lxc-operator.

Si un utilisateur ne dispose pas des privilèges pour effectuer des actions spécifiques, les éléments de menu, les icônes de barre d’outils et les boutons qui exécutent ces actions sont désactivés (en grisé).

XClarity Administrator fournit un groupe de rôles pour chaque rôle prédéfini, qui utilisent le même nom que le rôle. Envisagez de créer un groupe de rôles pour les nouveaux rôles que vous créez. Pour plus d'informations sur les groupes de rôles, voir Création d'un groupe du rôle personnalisé.

  • lxc-supervisor. Les utilisateurs auxquels ce rôle est affecté peuvent accéder, configurer et effectuer toutes les opérations disponibles sur le serveur de gestion et tous les appareils gérés.

    Les utilisateurs auxquels ce rôle est affecté ont accès à tous les appareils gérés. Vous ne pouvez pas limiter l'accès aux appareils pour ce rôle.

  • lxc-admin. Les utilisateurs auxquels ce rôle est affecté peuvent modifier les paramètres non liés à la sécurité et exécuter toutes les opérations non liées à la sécurité sur le serveur de gestion, comme la mise à jour et le redémarrage du serveur de gestion. Ce rôle offre également la possibilité d'afficher toutes les informations de configuration et d'état sur le serveur de gestion et les appareils gérés.
  • lxc-security-admin. Les utilisateurs auxquels ce rôle est affecté peuvent modifier les paramètres de sécurité et effectuer des opérations liées à la sécurité sur le serveur de gestion et les appareils gérés. Ce rôle offre également la possibilité d'afficher toutes les informations de configuration et d'état sur le serveur de gestion et les appareils gérés.

    Les utilisateurs auxquels ce rôle est affecté ont accès à tous les appareils gérés. Vous ne pouvez pas limiter l'accès aux appareils pour ce rôle.

  • lxc-hw-admin. Les utilisateurs auxquels ce rôle est affecté peuvent modifier les paramètres non liés à la sécurité et effectuer des opérations non liées à la sécurité sur le matériel géré, comme la mise à jour et le redémarrage des appareils gérés. Ce rôle offre également la possibilité d'afficher toutes les informations de configuration et d'état sur le serveur de gestion et tous les appareils gérés.
  • lxc-fw-admin. Les utilisateurs auxquels ce rôle est affecté peuvent créer des stratégies de microprogramme et déployer ces stratégies sur des appareils gérés. Les utilisateurs qui n'ont pas ce rôle peuvent uniquement afficher les informations sur les règles.
  • lxc-os-admin. Les utilisateurs ayant ce rôle peuvent télécharger et déployer des systèmes d'exploitation et des mises à jour de pilote de périphérique sur les serveurs gérés. Les utilisateurs qui n'ont pas ce rôle peuvent uniquement afficher les informations sur le système d'exploitation et le pilote de périphérique.
  • lxc-service-admin. Les utilisateurs auxquels ce rôle est affecté peuvent collecter et télécharger des fichiers de maintenance pour XClarity Administrator et les appareils gérés. Les utilisateurs qui n’ont pas ce rôle peuvent collecter, mais pas télécharger des données de maintenance.
  • lxc-hw-manager. Les utilisateurs auxquels ce rôle est affecté peuvent reconnaître de nouveaux appareils et placer ces derniers sous le contrôle de gestion de XClarity Administrator. Ce rôle interdit aux utilisateurs d'effectuer des opérations ou de modifier des paramètres de configuration sur le serveur de gestion et les appareils gérés, au-delà de ces opérations qui sont nécessaires pour reconnaître et gérer de nouveaux appareils.
  • lxc-operator. Les utilisateurs auxquels ce rôle est affecté peuvent afficher toutes les informations de configuration et d'état sur le serveur de gestion et les appareils gérés. Ce rôle interdit aux utilisateurs d'effectuer des opérations ou de modifier des paramètres de configuration sur le serveur de gestion et les appareils gérés.
  • lxc-recovery. Les utilisateurs auxquels ce rôle est affecté peuvent modifier les paramètres de sécurité et effectuer des opérations liées à la sécurité sur le serveur de gestion. Ces utilisateurs peuvent aussi s'authentifier directement auprès de XClarity Administrator même si la méthode d'authentification est définie sur un serveur LDAP externe. Ce rôle fournit un mécanisme de récupération en cas d'erreur de communication avec le serveur LDAP externe qui utilise la configuration « Données d'identification de connexion ».

    Les utilisateurs auxquels ce rôle est affecté ont accès à tous les appareils gérés. Vous ne pouvez pas limiter l'accès aux appareils pour ce rôle.

Les rôles prédéfinis suivants sont réservés et ne peuvent pas être utilisés pour créer des groupes de rôles ou être affectés à de nouveaux utilisateurs.
  • lxc-sysrdr
  • lxc-sysmgr

Procédure

Pour créer un rôle personnalisé, procédez comme suit.

  1. Dans la barre de menus de XClarity Administrator, cliquez sur Administration > Sécurité.
  2. Cliquez sur Rôles sous la section Utilisateurs et groupes afin d'afficher la page Gestion de groupe de rôle.

    Illustre la page Rôles.
  3. Cliquez sur l'icône Créer (Icône Créer) pour créer un rôle. La boîte de dialogue Créer un rôle personnalisé s'affiche.

    Illustre la boîte de dialogue Créer le rôle personnalisé.
  4. Entrez un nom et une description du rôle.
  5. Facultatif : Sélectionnez un rôle prédéfini comme point de départ pour ce rôle personnalisé.

    Si vous sélectionnez un rôle existant, les privilèges associés à ce rôle sont sélectionnés dans cette boîte de dialogue.

  6. Modifiez les privilèges pour ce nouveau rôle en sélectionnant ou en supprimant les privilèges à partir des menus déroulants Sélectionner des privilèges supplémentaires.
    Remarque
    Si vous sélectionnez tous les privilèges d'une catégorie spécifique et que les privilèges sont ajoutés à cette catégorie lorsque vous mettez à jour ou à niveau XClarity Administrator, les nouveaux privilèges sont automatiquement ajoutés au rôle personnalisé.
  7. Cliquez sur Créer. Le nouveau rôle est ajouté au tableau de la page Gestion des rôles.

Résultats

Vous pouvez également réaliser les actions suivantes.
  • Afficher les privilèges associés à un rôle spécifique en sélectionnant ce rôle et en cliquant sur l'icône Afficher (Icône Affichage).
  • Renommer ou éditer le rôle personnalisé en cliquant sur l'icône Éditer (Icône Editer). Lorsque vous éditez un rôle personnalisé, vous pouvez modifier les privilèges sélectionnés, la description et les listes des utilisateurs associés à ce rôle.
    Remarque
    Vous ne pouvez pas modifier un rôle prédéfini
  • Supprimer le rôle prédéfini ou personnalisé en cliquant sur l'icône Supprimer (Icône Supprimer).
  • Ajouter ou supprimer des rôles à partir d'un groupe de rôles (voir Ajout et retrait de plusieurs utilisateurs d'un groupe de rôles).
  • Restaurer tous les rôles prédéfinis qui ont été supprimés en cliquant sur Toutes les actions > Rôles Restaurer la valeur par défaut.