การควบคุมสิทธิ์การเข้าถึงอุปกรณ์ที่ระบุ
เมื่ออุปกรณ์ได้รับการจัดการในขั้นต้นโดย Lenovo XClarity Administrator กลุ่มบทบาทที่กำหนดไว้ล่วงหน้าจะมีสิทธิ์เข้าถึงอุปกรณ์โดยค่าเริ่มต้น คุณเปลี่ยนกลุ่มบทบาทที่สามารถเข้าถึงอุปกรณ์ที่ได้รับการจัดการที่ระบุ เมื่อมีการมอบสิทธิ์ให้กับกลุ่มบทบาทกลุ่มหนึ่ง เฉพาะผู้ใช้ที่เป็นสมาชิกของกลุ่มบทบาทนั้นที่จะสามารถดูและดำเนินการกับอุปกรณ์ที่ระบุเหล่านั้นได้
ก่อนจะเริ่มต้น
เฉพาะผู้ใช้ที่มีสิทธิ์ระดับ lxc-supervisor, lxc-security-admin หรือ lxc-recovery เท่านั้นที่สามารถดำเนินการดังกล่าวได้
เกี่ยวกับงานนี้
การควบคุมสิทธิ์การเข้าถึงจะตั้งค่าไว้กับอุปกรณ์รายตัว โดยจะไม่ตั้งค่าไว้กับคอนเทนเนอร์ เช่น แร็ค และกลุ่มทรัพยากร
สำหรับส่วนประกอบในตัวเครื่องหรือช่องใส่ ผู้ใช้จะมีสิทธิ์การเข้าถึงตัวเครื่องหรือช่องใส่อย่างน้อยแบบอ่านอย่างเดียว เพื่อดูส่วนประกอบในตัวเครื่องหรือช่องใส่นั้น หากผู้ใช้ไม่มีสิทธิ์การเข้าถึงตัวเครื่องหรือช่องใส่แบบอ่านอย่างเดียวเป็นอย่างน้อย ผู้ใช้นั้นอาจเห็นส่วนประกอบได้ในบางมุมมอง แต่ไม่รับประกันว่าจะเห็นส่วนประกอบได้ในทุกมุมมอง
ผู้ใช้ที่มีสิทธิ์ระดับ lxc-supervisor จะสามารถดูและดำเนินการกับทรัพยากรทั้งหมดได้ไม่ว่าผู้ใช้จะอยู่ในกลุ่มบทบาทที่มีสิทธิ์เข้าถึงทรัพยากรนั้นหรือไม่ ผู้ใช้ไม่สามารถนำสิทธิ์การเข้าถึงทรัพยากรใดๆ ออกจากกลุ่มบทบาท lxc-supervisor ได้
หากผู้ใช้ไม่ได้เป็นสมาชิกของกลุ่มบทบาทที่มีสิทธิ์เข้าถึงอุปกรณ์ที่ได้รับการจัดการที่ระบุใดๆ ผู้ใช้จะไม่สามารถดู หรือดำเนินการกับอุปกรณ์นั้นๆ ได้ ซึ่งรวมถึงการเปิดใช้อินเทอร์เฟซตัวควบคุมการจัดการบนเว็บผ่านทาง Lenovo XClarity Administrator สำหรับอุปกรณ์ Flex และ System x ผู้ใช้ยังจะไม่สามารถเข้าระบบได้โดยตรงใน CMM หรือตัวควบคุมการจัดการที่ผู้ใช้ไม่มีสิทธิ์เข้าถึง
การตั้งค่าการควบคุมสิทธิ์การเข้าถึงตามค่าเริ่มต้นจะใช้เพื่อกำหนดสิทธิ์การเข้าถึงอุปกรณ์เมื่ออุปกรณ์ได้รับการจัดการในขั้นต้นโดย XClarity Administrator และเมื่อรีเซ็ตสิทธิ์การเข้าถึงสำหรับอุปกรณ์ที่ระบุไปเป็นการตั้งค่าเริ่มต้น การเปลี่ยนการตั้งค่าการควบคุมสิทธิ์การเข้าถึงตามค่าเริ่มต้นจะไม่เปลี่ยนสิทธิ์การเข้าถึงโดยอัตโนมัติบนอุปกรณ์ที่มีการจัดการอยู่แล้ว
หากผู้ใช้เป็นสมาชิกของกลุ่มบทบาทมากกว่าหนึ่งกลุ่ม และกลุ่มบทบาทได้รับการกำหนดให้กับอุปกรณ์แตกต่างกัน การดำเนินการที่อนุญาตให้ผู้ใช้ดำเนินการในแต่ละอุปกรณ์อาจแตกต่างกัน ตัวอย่างเช่น หากผู้ใช้เป็นสมาชิกของกลุ่มบทบาทเริ่มต้น LXC-FW-ADMIN และ LXC-OS-ADMIN และหาก LXC-FW-ADMIN ได้รับสิทธิ์การเข้าถึง เซิร์ฟเวอร์ A แต่ LXC-OS-ADMIN ไม่ได้รับสิทธิ์การเข้าถึง เซิร์ฟเวอร์ A ผู้ใช้ก็จะสามารถอัปเดตเฟิร์มแวร์บน เซิร์ฟเวอร์ A แต่จะไม่สามารถปรับใช้ระบบปฏิบัติการบน เซิร์ฟเวอร์ A ได้ แล้วถ้าหาก LXC-OS-ADMIN ได้รับสิทธิ์การเข้าถึง เซิร์ฟเวอร์ B แต่ LXC-FW-ADMIN ไม่ได้รับสิทธิ์การเข้าถึง เซิร์ฟเวอร์ B ผู้ใช้คนนั้นก็จะสามารถปรับใช้ระบบปฏิบัติการบน เซิร์ฟเวอร์ B แต่จะไม่สามารถอัปเดตเฟิร์มแวร์บน เซิร์ฟเวอร์ B
เมื่อจำกัดการเข้าถึงอุปกรณ์ที่มีทรัพยากรหลัก (เช่น เซิร์ฟเวอร์ หรือสวิตช์ในตัวเครื่อง Flex) ผู้ใช้ต้องมีสิทธิ์ read-only กับทรัพยากรหลักเป็นอย่างน้อยเพื่อทำงานกับอุปกรณ์ได้เต็มความสามารถ หากผู้ใช้มีสิทธิ์ read-only กับอุปกรณ์เป็นอย่างน้อยแต่ไม่ได้มีสิทธิ์นี้กับทรัพยากรหลัก ผู้ใช้จะไม่สามารถดูมุมมองรายการอุปกรณ์ได้ แต่อาจดูข้อมูลอุปกรณ์ได้ในบางมุมมอง เช่น ในมุมมองงานและเหตุการณ์
ตัวอย่างเช่น คุณสามารถสร้างกลุ่มบทบาทสำหรับทรัพยากรหลัก และกำหนดบทบาท lxc-operatorให้กับกลุ่มบทบาทนั้น รวมถึงผู้ใช้ทั้งหมดที่ควรจะเข้าถึงทรัพยากรลูกใดๆ (เช่น เซิร์ฟเวอร์หรือสวิตช์ในตัวเครื่อง Flex) ในกลุ่มบทบาทนั้นได้ จากนั้น ให้รวมกลุ่มบทบาทนั้นเป็นหนึ่งในกลุ่มที่มีสิทธิ์เข้าถึงทรัพยากรหลัก
ขั้นตอน
ดำเนินการตามขั้นตอนต่อไปนี้เพื่อควบคุมการเข้าใช้งานอุปกรณ์ที่ระบุโดยเชื่อมกลุ่มบทบาทกับอุปกรณ์เหล่านั้น
- คลิกไอคอน แก้ไข (
) กล่องโต้ตอบ แก้ไขทรัพยากร จะปรากฏขึ้นพร้อมอุปกรณ์เป้าหมายที่แสดงในฟิลด์ ชื่อทรัพยากร
หลังจากดำเนินการเสร็จ
คุณยังสามารถควบคุมสิทธิ์การเข้าถึงอุปกรณ์ได้โดยดำเนินการดังต่อไปนี้:
เปลี่ยนสิทธิ์ไปเป็นการตั้งค่ากลุ่มบทบาทและการเข้าถึงแบบสาธารณะเริ่มต้น โดยคลิกไอคอน แก้ไข (
) แล้วคลิก รีเซ็ตเป็นค่าเริ่มต้นเปลี่ยนการตั้งค่ากลุ่มบทบาทและการเข้าถึงแบบสาธารณะเริ่มต้น (ดู การเปลี่ยนสิทธิ์เริ่มต้น)
ปิดใช้งานการควบคุมการเข้าถึงทรัพยากรโดยคลิกตัวสลับ เปิดใช้งาน เพื่อเปลี่ยน การควบคุมการเข้าถึงทรัพยากร เป็นปิดใช้งาน ซึ่งหมายความว่ากลุ่มบทบาททั้งหมดจะสามารถเข้าถึงอุปกรณ์ที่ได้รับการจัดการ