Pular para o conteúdo principal

Criando uma função personalizada

Uma função é um conjunto de privilégios ou permissões para executar uma ação específica. O Lenovo XClarity Administrator inclui diversas funções predefinidas (padrão). Também é possível criar funções personalizadas que forcem um conjunto exclusivo de privilégios que os usuários possam executar.

Antes de iniciar

Você deve ter autoridade lxc-supervisor ou lxc-security-admin para executar essa tarefa.

Sobre esta tarefa

Melhores práticas
Para criar uma função personalizada, selecione uma ou mais funções predefinidas que estão mais próximas no escopo da função que você deseja criar e, em seguida, limpe os privilégios individuais que deseja restringir. Isso garante que você tenha todos os privilégios pretendidos e que a função seja construída corretamente com privilégios dependentes.
Alguns privilégios do XClarity Administrator dependem dos privilégios do módulo de gerenciamento correspondente para executar ações em dispositivos gerenciados (consulte Privilégios v1 de módulo de gerenciamento e Privilégios v2 de módulo de gerenciamento). Um privilégio do XClarity Administrator pode permitir que você solicite uma ação em um dispositivo gerenciado, mas o dispositivo negará a solicitação se você não tiver os privilégios correspondentes para o CMM, IMM ou XCC. Por exemplo, se você criar uma função personalizada para executar ações de energia em dispositivos gerenciados, adicionará o privilégio lxc-inventory-modify-device-power-state e:
  • Para um servidor ThinkSystem em um rack, adicione o privilégio mm-power-and-restart-access-v1.

  • Para um chassi do Flex System inteiro (incluindo os dispositivos no chassi), adicione o privilégio mm-power-and-restart-access-v1.

  • Para um servidor ThinkSystem em um chassi, adicione os privilégios mm-power-and-restart-access-v1, mm-blade-operator-v2 e mm-blade-#-scope-v2 que correspondam ao servidor de destino.

Todas as funções contêm privilégios de somente leitura. Nenhuma função personalizada pode ser mais restritiva que a função lxc-operator.

Se um usuário não tiver privilégios para executar ações específicas, itens de menu, ícones de barra de ferramentas e botões que executam essas ações serão desativados (esmaecidos).

O XClarity Administrator fornece um grupo de funções para cada função predefinida, usando o mesmo nome que a função. Considere a possibilidade de criar um grupo de funções para novas funções que você criar. Para obter mais informações sobre os grupos de função, consulte Criando um grupo de funções personalizado.

  • lxc-supervisor. Usuários que atribuíram essa função pode acessar, configurar e executar todas as operações disponíveis no servidor de gerenciamento e todos os dispositivos gerenciados.

    Os usuários que são atribuídos a essa função sempre têm acesso a todos os dispositivos gerenciados. Você não pode restringir o acesso aos dispositivos para essa função.

  • lxc-admin. Usuários que atribuíram essa função podem modificar configurações não relacionadas a segurança e realizar todas as operações não relacionadas à segurança no servidor de gerenciamento, incluindo a possibilidade de atualizar e reiniciar o servidor de gerenciador. Essa função também permite exibir todas as informações de configuração e status sobre o servidor de gerenciamento e dispositivos gerenciados.
  • lxc-security-admin. Usuários atribuídos a esta função podem modificar as configurações de segurança e realizar operações relacionadas à segurança no servidor de gerenciamento e nos dispositivos gerenciados. Essa função também permite exibir todas as informações de configuração e status sobre o servidor de gerenciamento e dispositivos gerenciados.

    Os usuários que são atribuídos a essa função sempre têm acesso a todos os dispositivos gerenciados. Você não pode restringir o acesso aos dispositivos para essa função.

  • lxc-hw-admin. Os usuários com essa função podem modificar configurações que não sejam segurança e realizar as operações não relacionadas a segurança nos dispositivos gerenciados, incluindo a possibilidade de atualizar e reiniciar os dispositivos gerenciados. Essa função também permite exibir todas as informações de configuração e status sobre o servidor de gerenciamento e todos os dispositivos gerenciados.
  • lxc-fw-admin. Os usuários que são atribuídos a essa função podem criar políticas de firmware e implantar essas políticas em dispositivos gerenciados. Os usuários não atribuídos a essa função só podem ver informações de política.
  • lxc-os-admin. Os usuários que recebem essa função podem baixar e implantar sistemas operacionais e atualizações de drivers de dispositivo em servidores gerenciados. Os usuários que não recebem essa função só podem ver informações do sistema operacional e dos drivers de dispositivo.
  • lxc-service-admin. Os usuários que são atribuídos e essa função podem coletar e baixar arquivos de serviço para XClarity Administrator e dispositivos gerenciados. Os usuários que não são atribuídos a essa função podem coletar, mas não podem baixar os dados de serviço.
  • lxc-hw-manager. Usuários que têm essa função podem descobrir novos dispositivos e colocá-los sob o controle de gerenciamento do XClarity Administrator. Essa função proíbe usuários de executar operações ou modificar configurações no servidor de gerenciamento e nos dispositivos gerenciados fora dessas operações que são necessárias para descobrir e gerenciar novos dispositivos.
  • lxc-operator. Usuários que atribuíram esta função podem exibir todas as informações de configuração e status sobre o servidor de gerenciamento e dispositivos gerenciados. Essa função proíbe os usuários de realizar operações ou modificar configurações no servidor de gerenciamento e em todos os dispositivos gerenciados.
  • lxc-recovery. Usuários que atribuíram esta função podem modificar as configurações de segurança e realizar operações relacionadas à segurança no servidor de gerenciamento. Esses usuários também podem autenticar diretamente no XClarity Administrator mesmo se o método de autenticação estiver configurado como servidor LDAP externo. Essa função fornece um mecanismo de recuperação caso ocorra um erro de comunicação com o servidor LDAP externo que usa a configuração Credenciais de Login.

    Os usuários que são atribuídos a essa função sempre têm acesso a todos os dispositivos gerenciados. Você não pode restringir o acesso aos dispositivos para essa função.

As seguintes funções predefinidas estão reservadas e não podem ser usadas para criar novos grupos de funções ou serem atribuídas a novos usuários.
  • lxc-sysrdr
  • lxc-sysmgr

Procedimento

Para criar uma função personalizada, conclua as etapas a seguir.

  1. Na barra de menu do XClarity Administrator, clique em Administração > Segurança.
  2. Clique em Funções na seção Usuários e Grupos para exibir a página Gerenciamento de Funções.

    Ilustra a página Funções.
  3. Clique no ícone Criar (Ícone de Criar) para criar uma função. A caixa de diálogo Criar Função Personalizada é exibida.

    Ilustra a caixa de diálogo Criar Função Personalizada.
  4. Insira um nome e descrição de função.
  5. Opcional: Selecione uma função predefinida para ser usada como um ponto de partida para essa função personalizada.

    Se você selecionar uma função existente, os privilégios que estão associados a essa função serão selecionados na caixa de diálogo.

  6. Modifique os privilégios para essa nova função, selecionando ou limpando os privilégios dos menus suspensos Selecionar Privilégios Adicionais.
    Nota
    Se você selecionar todos os privilégios de uma categoria específica e os privilégios forem adicionados a essa categoria quando você atualizar o XClarity Administrator, os novos privilégios serão adicionados automaticamente à função personalizada
  7. Clique em Criar. A nova função é adicionada à tabela na página Gerenciamento de Função.

Resultados

Também é possível executar as seguintes ações.
  • Exiba os privilégios associados a uma função específica, selecionando a função e clicando no ícone Exibir (Ícone de Exibir).
  • Renomeie ou edite a função personalizada, clicando no ícone Editar (Ícone de Editar). Ao editar uma função personalizada, você pode alterar os privilégios selecionados, a descrição e a lista de usuários associados à função.
    Nota
    Não é possível modificar uma função predefinida
  • Exclua a função predefinida ou personalizada, clicando no ícone Excluir (Ícone de Excluir).
  • Adicione ou remova funções de um grupo de funções (consulte Adicionando e removendo vários usuários de um grupo de funções).
  • Restaure todas as funções predefinidas que foram excluídas, clicando em Todas as Ações > Restaurar Funções Padrão.