Перейти к основному содержимому

Управление доступом к конкретным устройствам

Если изначально устройства находятся под управлением Lenovo XClarity Administrator, разрешение на доступ к ним по умолчанию имеют группы ролей из заранее заданного набора. Группы ролей, которые могут иметь доступ к конкретным управляемым устройствам, можно изменять. Если разрешение дано определенным группам ролей, видеть конкретные устройства и выполнять в их отношении действия могут только пользователи, входящие в эти группы ролей.

Перед началом работы

Это действие могут выполнять только пользователи с правами lxc-supervisor, lxc-security-admin и lxc-recovery.

Об этой задаче

Управление доступом настраивается для отдельных устройств. Оно не настраивается для контейнеров, например стоек и групп ресурсов.

Для компонентов в раме или корпусе пользователи должны иметь как минимум доступ на чтение для рамы или корпуса, чтобы просматривать компоненты в этой раме или корпусе. Если такого доступа у пользователей нет, они все же могут просматривать компоненты рамы в некоторых представлениях, но гарантированной возможности просмотра компонентов рамы во всех представлениях у них нет.

Пользователи с правами lxc-supervisor могут просматривать все ресурсы и выполнять действия для них независимо от того, относятся ли они к группе ролей, которой специально предоставлен доступ к этим ресурсам. Запретить доступ к каким-либо ресурсам для группы ролей lxc-supervisor невозможно.

Если пользователь не входит в группу ролей, у которой есть доступ к конкретному управляемому устройству, он не будет видеть это устройство и не сможет выполнять для него никакие действия. Это ограничение включает в себя запуск веб-интерфейса контроллера управления с помощью Lenovo XClarity Administrator. Для устройств Flex и System x такой пользователь также не сможет напрямую войти в модуль CMM и контроллер управления, к которым у него нет доступа.

Параметры управления доступом по умолчанию используются для задания прав доступа на устройствах, если изначально устройства находятся под управлением XClarity Administrator, а также при восстановлении для конкретного устройства прав доступа по умолчанию. При изменении параметров управления доступом по умолчанию права доступа на устройствах, которые уже находятся под управлением, автоматически не изменяются.

Важное замечание

  • Если пользователь входит в несколько групп ролей и эти группы ролей назначены разным устройствам, действия, которые пользователю разрешается выполнять для каждого устройства, могут различаться. Например, если пользователь входит в группы ролей по умолчанию LXC-FW-ADMIN и LXC-OS-ADMIN и группе LXC-FW-ADMIN предоставлен доступ к серверу A, а группе LXC-OS-ADMIN такой доступ не предоставлен, этот пользователь сможет обновить микропрограмму на сервере A, но не сможет развернуть на нем операционную систему A. Если группе LXC-OS-ADMIN предоставлен доступ к серверу B, а группе LXC-FW-ADMIN такой доступ не предоставлен, этот пользователь сможет развернуть на сервере B операционную систему, но не сможет обновить на нем микропрограмму.

  • При ограничении доступа к устройству с родительским ресурсом (например, сервер или коммутатор в раме Flex) пользователь должен иметь по крайней мере разрешения только на чтение к родительскому ресурсу для взаимодействия с устройством. Если пользователь имеет по крайней мере доступ только на чтение к устройству, но не родительскому ресурсу, пользователь не сможет просматривать представления инвентаря устройства, но сможет просматривать информацию об устройстве в некоторых представлениях, например заданиях и событиях.

    Например, можно создать группу ролей для родительского ресурса и назначить группу ролей роли lxc-operator. Включите всех пользователей, которым требуется доступ к какому-либо родительскому ресурсу (например, сервер или коммутатор в раме Flex), в эту группу ролей. Затем включите эту группу ролей в качестве одной из групп, у которой есть доступ к родительскому ресурсу.

Процедура

Выполните указанные ниже действия для управления доступом к конкретным устройствам путем сопоставления групп ролей с этими устройствами.

  1. В главном меню Lenovo XClarity Administrator нажмите Администрирование > Безопасность.
  2. Нажмите Представление ресурсов в левой панели навигации. Отображается страница «Представление ресурсов».

    Можно сортировать столбцы таблицы, чтобы упростить поиск конкретных устройств. Кроме того, можно в раскрывающемся меню Тип ресурса выбрать тип устройства, в раскрывающемся меню Группы ролей — группу ролей, в раскрывающемся меню Группы ресурсов — группу ресурсов, а затем в поле Фильтр ввести текст (например, имя или тип ресурса) для отображения списка только тех устройств, которые соответствуют выбранным критериям.

  3. Выберите одно или несколько устройств, для которых требуется управлять доступом.
  4. Щелкните значок Изменить (Значок «Изменить»). Откроется диалоговое окно «Изменение ресурса» со списком целевых устройств в поле Имя ресурса.
  5. В раскрывающемся списке Группы ролей выберите группы ролей, которым требуется разрешить доступ к целевым устройствам.
    Прим.
    Если устройство имеет родительский ресурс (например, сервер или коммутатор в раме Flex), можно указать доступ для устройства (правый столбец) и родительского ресурса (левый столбец).
  6. Установите Открытый доступ на значение No. В этом случае доступ к целевым устройствам будут иметь только пользователи, входящие в выбранные группы ролей.
  7. Нажмите Сохранить.
  8. Назначив права доступа, нажмите переключатель Отключено, чтобы перевести Управление доступом к ресурсам во включенное состояние.

    Включить управление доступом к ресурсам можно в любое время до или после настройки доступа к конкретным устройствам. Если этот параметр включен, вступает в силу конфигурация, которая отображается в таблице, включая запрет доступа пользователям без прав администратора ко всем устройствам, для которых не определены группы с разрешенным доступом к этим устройствам.

После завершения

Управлять доступом к устройствам можно также путем выполнения указанных ниже действий.

  • Измените разрешения для групп ролей и параметра открытого доступа по умолчанию, нажав значок Изменить (Значок «Изменить») и выбрав Восстановление значений по умолчанию.

  • Измените группу ролей и настройку открытого доступа по умолчанию (см. раздел Изменение разрешений по умолчанию).

  • Отключите управление доступом к ресурсам, нажав переключатель Включено, чтобы перевести Управление доступом к ресурсам в отключенное состояние. При этом по умолчанию все группы ролей будут иметь доступ ко всем управляемым устройствам.