Passa al contenuto principale

Creazione di un ruolo personalizzato

Un ruolo è un insieme di privilegi o di autorizzazioni per eseguire un'azione specifica. Lenovo XClarity Administrator include diversi ruoli predefiniti. È inoltre possibile creare ruoli personalizzati che applicano un insieme univoco di privilegi che gli utenti possono eseguire

Prima di iniziare

È necessario disporre dell'autorità lxc-supervisor o lxc-security-admin per eseguire questa attività.

Informazioni su questa attività

Procedure ottimali
Per creare un ruolo personalizzato, selezionare uno o più ruoli predefiniti il cui ambito è più simile al ruolo che si desidera creare, quindi cancellare i singoli privilegi da limitare. In questo modo è possibile ottenere tutti i privilegi previsti e avere la certezza che il ruolo sia creato correttamente con privilegi dipendenti.
Alcuni privilegi di XClarity Administrator dipendono dai corrispondenti privilegi del modulo di gestione per eseguire azioni sui dispositivi gestiti (vedere Privilegi del modulo di gestione v1 e Privilegi del modulo di gestione v2). Un privilegio di XClarity Administrator potrebbe consentire di richiedere un'azione su un dispositivo gestito, ma il dispositivo negherà la richiesta se non si dispone dei corrispondenti privilegi per CMM, IMM o XCC. Ad esempio, se si crea un ruolo personalizzato per eseguire azioni di accensione e spegnimento sui dispositivi gestiti, è possibile aggiungere il privilegio lxc-inventory-modify-device-power-state e:
  • Per un server ThinkSystem in un rack, aggiungere il privilegio mm-power-and-restart-access-v1.

  • Per un intero chassis Flex System (inclusi i dispositivi nello chassis), aggiungere il privilegio mm-power-and-restart-access-v1.

  • Per un server ThinkSystem in uno chassis, aggiungere i privilegi mm-power-and-restart-access-v1, mm-blade-operator-v2 e mm-blade-#-scope-v2 corrispondenti al server di destinazione.

Tutti i ruoli contengono privilegi di sola lettura. Nessun ruolo personalizzato è più restrittivo del ruolo lxc-operator.

Se un utente non dispone dei privilegi per eseguire azioni specifiche, le voci di menu, le icone della barra degli strumenti e i pulsanti che consentono di eseguire tali azioni saranno disabilitati (evidenziati in grigio).

XClarity Administrator fornisce un gruppo di ruoli per ogni ruolo predefinito, utilizzando lo stesso nome del ruolo. Valutare la possibilità di creare un gruppo di ruoli per i nuovi ruoli creati. Per ulteriori informazioni sui gruppi di ruoli, vedere Creazione di un gruppo di ruoli personalizzato.

  • lxc-supervisor. Gli utenti assegnati a questo ruolo possono accedere, configurare ed eseguire tutte le operazioni disponibili sul server di gestione e su tutti i dispositivi gestiti.

    Gli utenti assegnati a questo ruolo possono sempre accedere a tutti i dispositivi gestiti. Non è possibile limitare l'accesso ai dispositivi per questo ruolo.

  • lxc-admin. Gli utenti assegnati a questo ruolo possono modificare le impostazioni ed eseguire le operazioni non correlate alla sicurezza sul server di gestione, come la possibilità di aggiornare e riavviare il server di gestione. Questo ruolo inoltre offre la possibilità di visualizzare tutte le informazioni su configurazione e stato del server di gestione e dei dispositivi gestiti.
  • lxc-security-admin. Gli utenti assegnati a questo ruolo possono modificare le impostazioni di sicurezza ed eseguire le operazioni correlate sul server di gestione e sui dispositivi gestiti. Questo ruolo inoltre offre la possibilità di visualizzare tutte le informazioni su configurazione e stato del server di gestione e dei dispositivi gestiti.

    Gli utenti assegnati a questo ruolo possono sempre accedere a tutti i dispositivi gestiti. Non è possibile limitare l'accesso ai dispositivi per questo ruolo.

  • lxc-hw-admin. Gli utenti assegnati a questo ruolo possono modificare le impostazioni ed eseguire le operazioni non correlate alla sicurezza sui dispositivi gestiti, come la possibilità di aggiornare e riavviare i dispositivi gestiti. Questo ruolo inoltre offre la possibilità di visualizzare tutte le informazioni su configurazione e stato del server di gestione e di tutti i dispositivi gestiti.
  • lxc-fw-admin. Gli utenti assegnati a questo ruolo possono creare criteri firmware e distribuirli ai dispositivi gestiti. Gli utenti non assegnati a questo ruolo possono solo visualizzare le informazioni sui criteri.
  • lxc-os-admin. Gli utenti assegnati a questo ruolo possono scaricare e distribuire i sistemi operativi e gli aggiornamenti dei driver di dispositivo sui server gestiti. Gli utenti non assegnati a questo ruolo possono visualizzare solo le informazioni relative al sistema operativo e ai driver di dispositivo.
  • lxc-service-admin. Gli utenti assegnati a questo ruolo possono raccogliere e scaricare i file di servizio per XClarity Administrator e i dispositivi gestiti. Gli utenti non assegnati a questo ruolo possono raccogliere ma non scaricare i dati di servizio.
  • lxc-hw-manager. Gli utenti assegnati a questo ruolo possono rilevare nuovi dispositivi e collocarli sotto il controllo gestionale di XClarity Administrator. Questo ruolo impedisce agli utenti di eseguire operazioni o di modificare le impostazioni delle configurazioni sul server di gestione e sui dispositivi gestiti che non rientrano nelle operazioni necessarie per rilevare e gestire nuovi dispositivi.
  • lxc-operator. Gli utenti assegnati a questo ruolo possono visualizzare tutte le informazioni su configurazione e stato relative al server di gestione e ai dispositivi gestiti. Questo ruolo impedisce agli utenti di eseguire operazioni o di modificare le impostazioni delle configurazioni sul server di gestione e sui dispositivi gestiti.
  • lxc-recovery. Gli utenti assegnati a questo ruolo possono modificare le impostazioni di sicurezza ed eseguire le operazioni correlate sul server di gestione. Questi utenti possono inoltre eseguire l'autenticazione diretta a XClarity Administrator, anche se il metodo di autenticazione è impostato su server LDAP esterno. Questo ruolo fornisce un meccanismo di ripristino in caso di errore di comunicazione con il server LDAP esterno che utilizza la configurazione Credenziali di login.

    Gli utenti assegnati a questo ruolo possono sempre accedere a tutti i dispositivi gestiti. Non è possibile limitare l'accesso ai dispositivi per questo ruolo.

I seguenti ruoli predefiniti sono riservati e non possono essere utilizzati per creare nuovi gruppi di ruoli o assegnati a nuovi utenti.
  • lxc-sysrdr
  • lxc-sysmgr

Procedura

Per creare un ruolo personalizzato, effettuare le seguenti operazioni.

  1. Dalla barra dei menu di XClarity Administrator, fare clic su Amministrazione > Sicurezza.
  2. Fare clic su Ruoli nella sezione "Utenti e gruppi" per visualizzare la pagina "Gestione ruoli".

    Mostra la pagina Ruoli.
  3. Fare clic sull'icona Crea (Icona Crea) per creare un ruolo. Viene visualizzata la finestra di dialogo Crea ruolo personalizzato.

    Mostra la finestra di dialogo Crea ruolo personalizzato.
  4. Immettere il nome del ruolo e la descrizione.
  5. Opzionale: Selezionare un ruolo predefinito da utilizzare come punto di partenza per questo ruolo personalizzato.

    Se si seleziona un ruolo esistente, i privilegi associati a questo ruolo vengono selezionati nella finestra di dialogo.

  6. Modificare i privilegi per questo ruolo nuovo selezionando o cancellando i privilegi dal menu a discesa Seleziona privilegi aggiuntivi.
    Nota
    Se si selezionano tutti i privilegi in una categoria specifica e i privilegi vengono aggiunti a tale categoria quando si aggiorna XClarity Administrator, i nuovi privilegi vengono aggiunti automaticamente al ruolo personalizzato
  7. Fare clic su Crea. Il nuovo ruolo viene aggiunto alla tabella nella pagina "Gestione ruoli".

Risultati

È inoltre possibile completare le seguenti azioni.
  • Visualizzare i privilegi associati a un ruolo specifico selezionando il ruolo e facendo clic sull'icona Visualizza (Icona Visualizza).
  • Rinominare o modificare il ruolo personalizzato facendo clic sull'icona Modifica (Icona Modifica). Quando si modifica un ruolo personalizzato, è possibile modificare i privilegi selezionati, la descrizione e l'elenco degli utenti associati al ruolo.
    Nota
    Non è possibile modificare un ruolo predefinito
  • Eliminare il ruolo predefinito o personalizzato facendo clic sull'icona Elimina (Icona Elimina).
  • Aggiungere o rimuovere i ruoli da un gruppo di ruoli (vedere Aggiunta e rimozione di più utenti da un gruppo di ruoli).
  • Ripristinare tutti i ruoli predefiniti eliminati facendo clic su Tutte le azioni > Ripristina ruoli predefiniti.