跳到主要内容

控制对特定设备的访问权

设备首次受 Lenovo XClarity Administrator 管理时,默认情况下有一组预定义的角色组有权访问这些设备。可更改能访问特定受管设备的角色组。将权限授予特定角色组后,只有属于该角色组的用户可以查看和操作这些特定设备。

开始之前

只有具备 lxc-supervisorlxc-security-adminlxc-recovery 权限的用户才可以执行此操作。

关于本任务

访问控制在每个设备上单独设置。它并非针对容器设置,如机架和资源组。

对于机箱或机柜中的组件,用户必须至少具备机箱或机柜的只读访问权限才能查看机箱或机柜中的组件。如果用户连机箱或机柜的只读访问权限也不具备,他们或许可以在某些视图中查看组件,但一定能在所有视图中查看此类组件。

具有 lxc-supervisor 权限的用户可查看和操作所有资源,而不论其是否属于拥有该资源访问权的指定角色组。无法删除 lxc-supervisor 角色组对任何资源的访问权。

如果用户不属于拥有特定受管设备访问权的角色组,则该用户无法查看或操作该特定设备。其中包括通过 Lenovo XClarity Administrator 启动管理控制器 Web 界面。对于 Flex 和 System x 设备,用户也无法直接登录其没有访问权的 CMM 或管理控制器。

默认访问控制设置用于设置以下两种情况下设备的访问权限:设备初次受 XClarity Administrator 管理时,以及将特定设备的访问权限重置为默认设置时。更改默认访问控制设置不会自动更改已受管设备的访问权限。

重要

  • 如果用户是多个角色组的成员,且这些角色组分配给了不同的设备,则用户在每个设备上允许执行的操作可能不同。例如,如果用户是默认角色组 LXC-FW-ADMIN 和 LXC-OS-ADMIN 的成员,且 LXC-FW-ADMIN 拥有服务器 A 的访问权而 LXC-OS-ADMIN 没有服务器 A 的访问权,则该用户可在服务器 A 上更新固件,但不能在服务器 A 上部署操作系统。如果 LXC-OS-ADMIN 拥有服务器 B 的访问权,而 LXC-FW-ADMIN 没有服务器 B 的访问权,则该用户可在服务器 B 上部署操作系统,但不能在服务器 B 上更新固件。

  • 如果限制访问具有父资源(如 Flex 机箱中的服务器或交换机)的设备,则用户必须至少具有该父资源的只读权限,才能与该设备完全交互。如果用户至少具有设备的只读访问权限,但是没有父资源的只读访问权限,则用户不能查看设备清单视图,但是可能可以在某些视图(如作业和事件)中查看该设备。

    例如,可以为父资源创建角色组,并为该角色组分配 lxc-operator 角色。将所有应该可以访问任何子资源(如 Flex 机箱中的服务器或交换机)的用户添加到该角色组中。然后,将该角色组作为可以访问父资源的一个组添加。

过程

完成以下过程以通过将角色组与设备相关联来控制对特定设备的访问。

  1. Lenovo XClarity Administrator 主菜单中,单击管理 > 安全性
  2. 单击左侧导航窗格中的资源视图。随后将显示“资源视图”页面。

    可对表列进行排序以方便查找特定设备。此外,还可在资源类型下拉菜单中选择一种设备类型、在角色组下拉菜单中选择一个角色组、在资源组下拉菜单中选择一个资源组,以及在筛选条件字段输入文本(如资源名称或类型)来只列出符合所选条件的设备。

  3. 选择要控制访问的一个或多个设备。
  4. 单击编辑图标(“编辑”图标)。随后将显示“编辑资源”对话框,其中在资源名称字段列出了目标设备。
  5. 角色组下拉列表中,选择要授予目标设备访问权的角色组。
    如果设备有父资源(例如,Flex 机箱中的服务器或交换机),则可以同时为设备(右列)和父资源(左列)指定访问权限。
  6. 公共访问设置为 No。这意味着只有所选角色组的成员用户才可访问目标设备。
  7. 单击保存
  8. 完成权限分配后,单击已禁用切换开关以将资源访问控制更改为已启用。

    可在任何时候启用资源访问控制,不论是配置特定设备的访问权之前或之后。启用此设置后,表中显示的配置将生效,非主管用户如果不包含任何拥有访问权的组,将被拒绝访问设备。

完成之后

也可通过执行以下操作来控制设备的访问权:

  • 单击编辑图标(“编辑”图标),然后单击重置为默认值,可将权限更改为默认角色组和公共访问设置。

  • 更改默认角色组和公共访问设置(请参阅更改默认权限)。

  • 通过单击已启用切换开关将资源访问控制更改为已禁用,可禁用资源访问权限控制。这意味着所有角色组均可访问所有受管设备。