创建定制角色
角色 是一组权限,用于执行特定操作。Lenovo XClarity Administrator 中包含若干预定义的(即默认的)角色。也可以创建定制角色以实施用户可执行的一组唯一权限
开始之前
必须具有 lxc-supervisor 或 lxc-security-admin 权限才能执行此任务。
关于本任务
对于机架中的 ThinkSystem 服务器,添加 mm-power-and-restart-access-v1 权限。
对于整个 Flex System 机箱(包括机箱中的设备),添加 mm-power-and-restart-access-v1 权限。
对于机箱中的 ThinkSystem 服务器,添加与目标服务器匹配的 mm-power-and-restart-access-v1、mm-blade-operator-v2 和 mm-blade-#-scope-v2 权限。
所有角色都包含只读权限。定制角色不能比 lxc-operator 角色限制性更强。
如果用户没有执行特定操作的权限,则会禁用(灰显)用于执行这些操作的菜单项、工具栏图标和按钮。
XClarity Administrator 使用与角色相同的名称为每个预定义角色提供角色组。考虑为您创建的新角色创建角色组。有关角色组的更多信息,请参阅创建定制角色组。
- lxc-supervisor。分配了此角色的用户可访问、配置管理软件和所有受管设备,并可对其执行所有可用操作。
分配了此角色的用户始终有权访问所有受管设备。您不能限制此角色对设备的访问。
- lxc-admin。分配了此角色的用户可在管理软件上修改与安全无关的设置和执行所有与安全无关的操作,包括可更新和重新启动管理软件。此角色还可查看有关管理软件和受管设备的所有配置和状态信息。
lxc-security-admin。分配了此角色的用户可针对管理软件和受管设备修改安全设置和执行与安全相关的操作。此角色还可查看有关管理软件和受管设备的所有配置和状态信息。
分配了此角色的用户始终有权访问所有受管设备。您不能限制此角色对设备的访问。
- lxc-hw-admin。分配了此角色的用户可在受管设备上修改非安全设置和执行与安全无关的操作,包括可更新和重新启动受管设备。此角色还可查看有关管理软件和所有受管设备的所有配置和状态信息。
- lxc-fw-admin。分配了此角色的用户可创建固件策略并将这些策略部署到受管设备。未分配此角色的用户只能查看策略信息。
- lxc-os-admin。分配了此角色的用户可下载并部署操作系统和设备驱动程序更新到受管服务器。未分配此角色的用户只能查看操作系统和设备驱动程序信息。
- lxc-service-admin。分配了此角色的用户可收集和下载 XClarity Administrator 与受管设备的服务文件。未分配此角色的用户可收集服务数据,但不能下载。
- lxc-hw-manager。为其分配了此角色的用户可发现新设备,并让这些设备受 XClarity Administrator 的管理控制。此角色禁止用户在管理软件和受管设备上执行除发现和管理新设备所必须执行的操作之外的操作或修改配置设置。
- lxc-operator。分配了此角色的用户可查看有关管理软件和受管设备的所有配置和状态信息。此角色禁止用户对管理软件和受管设备执行操作或修改其配置设置。
lxc-recovery。为其分配了此角色的用户可针对管理软件修改安全设置和执行与安全相关的操作。即使认证方法设置为外部 LDAP 服务器,这些用户也会直接向 XClarity Administrator 认证。该角色提供一种恢复机制,以便在使用“登录凭证”配置的外部 LDAP 服务器发生通信错误时进行恢复。
分配了此角色的用户始终有权访问所有受管设备。您不能限制此角色对设备的访问。
- lxc-sysrdr
- lxc-sysmgr
过程
要创建定制角色,请完成以下步骤。
- 在“用户和组”部分下单击角色以显示“角色管理”页面。
- 单击创建图标(
)以创建角色。此时将显示“创建定制角色”对话框。
结果
- 通过选择角色并单击查看图标(
)查看与特定角色关联的权限。 - 通过单击编辑图标(
),重命名或编辑定制角色。编辑定制角色时,可更改与角色关联的所选权限、描述和用户列表。注不能修改预定义角色。 - 通过单击删除图标(
)删除预定义角色或定制角色。 - 在角色组中添加或删除角色(请参阅向角色组添加和从中删除多个用户)。
- 通过单击恢复已删除的所有预定义角色。