Создание настраиваемой роли

Роль — это набор привилегий или разрешений на выполнение конкретного действия. Lenovo XClarity Administrator включает несколько предопределенных ролей (по умолчанию). Также можно создавать настраиваемые роли, включающие уникальный набор привилегий, которые доступны пользователям.

Перед началом работы

Для выполнения этой задачи необходимо обладать правами lxc-supervisor или lxc-security-admin.

Об этой задаче

Рекомендация

Чтобы создать настраиваемую роль, выберите одну или несколько предопределенных ролей, наиболее близких по возможностям к создаваемой роли, а затем удалите отдельные привилегии, которые требуется ограничить. При этом вы гарантированно получите все предполагаемые привилегии, и роль будет правильно создана с зависимыми привилегиями.

Некоторые привилегии XClarity Administrator зависят от соответствующих привилегий модуля управления в отношении выполнения действий на управляемых устройствах (см. разделы Привилегии модуля управления v1 и Привилегии модуля управления версии 2). Привилегия XClarity Administrator может разрешать запрашивать выполнение действия на управляемом устройстве, однако при отсутствии у вас соответствующих привилегий для CMM, IMM или XCC устройство будет отклонять запрос. Например, если вы создаете настраиваемую роль для выполнения действий с электропитанием на управляемых устройствах, вам необходимо добавить привилегию lxc-inventory-modify-device-power-state, а также

Для сервера ThinkSystem в стойке добавить привилегию mm-power-and-restart-access-v1.
Для всей рамы Flex System (включая устройства в ней) добавить привилегию mm-power-and-restart-access-v1.
Для сервера ThinkSystem в раме добавить привилегии mm-power-and-restart-access-v1, mm-blade-operator-v2 и mm-blade-#-scope-v2, соответствующие целевому серверу.

Все роли содержат привилегии только для чтения. Ни одна настраиваемая роль не может быть более ограничивающей, чем роль lxc-operator.

Если у пользователя нет привилегий для выполнения определенных действий, пункты меню, значки панели инструментов и кнопки, выполняющие эти действия, отключаются (становятся неактивными).

XClarity Administrator содержит группу ролей для каждой предопределенной роли с тем же именем, что и эта роль. Для создаваемых ролей рекомендуется создать группу ролей. Дополнительные сведения о группах ролей см. в разделе Создание настраиваемой группы ролей.

lxc-supervisor. Пользователи, которым назначена эта роль, могут получить доступ, настроить и выполнить все доступные операции на сервере управления и на всех управляемых устройствах.
Пользователи, которым назначена эта роль, всегда имеют доступ ко всем управляемым устройствам. Ограничить доступ к устройствам для этой роли невозможно.
lxc-admin. Пользователи, которым назначена эта роль, могут изменять параметры, не связанные с безопасностью, и выполнять все не связанные с безопасностью операции на сервере управления, в том числе обновлять и перезапускать сервер управления. Эта роль также предоставляет возможность просматривать все сведения о конфигурации и состояниях сервера управления и управляемых устройств.
lxc-security-admin. Пользователи, которым назначена эта роль, могут изменять параметры безопасности и выполнять связанные с безопасностью операции на сервере управления и управляемых устройствах. Эта роль также предоставляет возможность просматривать все сведения о конфигурации и состояниях сервера управления и управляемых устройств.
Пользователи, которым назначена эта роль, всегда имеют доступ ко всем управляемым устройствам. Ограничить доступ к устройствам для этой роли невозможно.
lxc-hw-admin. Пользователи, которым назначена эта роль, могут изменять параметры, не связанные с безопасностью, и выполнять операции, не связанные с безопасностью, на управляемых устройствах, в том числе могут обновлять и перезапускать управляемые устройства. Эта роль также предоставляет возможность просматривать все сведения о конфигурации и состояниях сервера управления и всех управляемых устройств.
lxc-fw-admin. Пользователи, которым назначена эта роль, могут создавать политики микропрограмм и развертывать эти политики на управляемых устройствах. Пользователи, которым не назначена эта роль, могут только просматривать сведения о политиках.
lxc-os-admin. Пользователи, которым назначена эта роль, могут загружать и развертывать операционные системы и обновления драйверов устройств на управляемых серверах. Пользователи, которым не назначена эта роль, могут только просматривать сведения об операционных системах и драйверах устройств.
lxc-service-admin. Пользователи, которым назначена эта роль, могут собирать и загружать файлы службы для XClarity Administrator и управляемых устройств. Пользователи, которым не назначена эта роль, могут собирать данные по обслуживанию, но не могут загружать их.
lxc-hw-manager. Пользователи, которым назначена эта роль, могут обнаруживать новые устройства и помещать их под управление XClarity Administrator. Эта роль запрещает пользователям выполнять операции и изменять параметры конфигурации на сервере управления и всех управляемых устройствах, кроме операций, которые необходимы для обнаружения новых устройств и управления ими.
lxc-operator. Пользователи, которым назначена эта роль, могут просматривать все сведения о конфигурации и состояниях сервера управления и управляемых устройств. Эта роль запрещает пользователям выполнять операции и изменять параметры конфигурации на сервере управления и всех управляемых устройствах.
lxc-recovery. Пользователи, которым назначена эта роль, могут изменять параметры безопасности и выполнять связанные с безопасностью операции на сервере управления. Эти пользователи также могут аутентифицироваться непосредственно в XClarity Administrator, даже если в качестве метода аутентификации выбран внешний сервер LDAP. Эта роль обеспечивает механизм восстановления в случае возникновения ошибки связи с внешним сервером LDAP, использующим конфигурацию «Учетные данные для входа».
Пользователи, которым назначена эта роль, всегда имеют доступ ко всем управляемым устройствам. Ограничить доступ к устройствам для этой роли невозможно.

Следующие заранее определенные роли зарезервированы и не могут использоваться для создания новых групп ролей и назначаться новым пользователям.

lxc-sysrdr
lxc-sysmgr

Процедура

Для создания настраиваемой роли выполните указанные ниже действия.

В строке меню XClarity Administrator выберите Администрирование > Безопасность.
Нажмите Роли в разделе «Пользователи и группы», чтобы отобразить страницу «Управление ролями».
Нажмите значок Создать (), чтобы создать роль. Откроется диалоговое окно Создать настраиваемую роль.
Введите имя и описание роли.
Необязательно: Выберите предопределенную роль для использования в качестве отправной точки для данной настраиваемой роли.
При выборе существующей роли в диалоговом окне выбираются привилегии, связанные с этой ролью.
Измените привилегии для этой новой роли, установив или сняв флажок напротив привилегий в раскрывающемся меню Выберите дополнительные привилегии.
Прим.
Если вы выбрали все привилегии в конкретной категории и при обновлении XClarity Administrator в эту категорию добавляются какие-либо привилегии, новые привилегии автоматически добавляются в настраиваемую роль.
Нажмите Создать. Новая роль добавляется в таблицу на странице «Управление ролями».

Результаты

Также можно выполнить следующие действия.

Просмотреть привилегии, связанные с определенной ролью, выбрав роль и нажав значок Просмотреть ().
Переименовать или изменить настраиваемую роль, нажав значок Изменить (). При изменении настраиваемой роли можно изменить выбранные привилегии, описание и список пользователей, связанных с ролью.
Прим.
Предопределенную роль изменить невозможно.
Удалить предопределенную или настраиваемую роль, нажав значок Удалить ().
Добавить или удалить роли из группы ролей (см. раздел Добавление и удаление нескольких пользователей в/из группы ролей).
Восстановить все предопределенные роли, которые были удалены, нажав Все действия > Восстановить роли по умолчанию.

Предоставить обратную связь