跳至主要内容

建立自訂角色

角色是一組可執行特定動作的權限Lenovo XClarity Administrator 包含數個預先定義的(預設)角色。您也可以建立自訂角色,強制執行唯一一組使用者可以執行的權限

開始之前

您必須具備 lxc-supervisorlxc-security-admin 權限才能執行此作業。

關於此作業

最佳做法
如果要建立自訂角色,請選取一個或多個與您要建立的角色範圍最接近的預先定義角色,然後清除您希望限制的個別權限。這可確保您取得所有想要的權限,並且使用相依的權限正確建構角色。
部分 XClarity Administrator 權限取決於對應的管理模組權限,可在受管理裝置上執行動作(請參閱 管理模組 v1 權限管理模組 v2 權限)。XClarity Administrator 權限可能允許您要求受管理裝置上的動作,但是如果您沒有 CMM、IMM 或 XCC 的對應權限,裝置將拒絕您的要求。例如,如果您建立一個自訂角色在受管理裝置上執行電源動作,您會新增 lxc-inventory-modify-device-power-state 權限及:
  • 若是機架中的 ThinkSystem 伺服器,請新增 mm-power-and-restart-access-v1 權限。

  • 若是整個 Flex System 機箱(包括機箱中的裝置),則新增 mm-power-and-restart-access-v1 權限。

  • 若是機箱中的 ThinkSystem 伺服器,則新增符合目標伺服器的 mm-power-and-restart-access-v1mm-blade-operator-v2mm-blade-#-scope-v2 權限。

所有角色皆包含唯讀權限。自訂角色的限制性不能比 lxc-operator 角色更嚴格。

如果使用者沒有執行特定動作的權限,執行這些動作的功能表項目、工具列圖示和按鈕都會停用(變成灰色)。

XClarity Administrator 為每個預先定義角色提供角色群組,使用與該角色相同的名稱。請考慮為您建立的新角色建立角色群組。如需角色群組的相關資訊,請參閱建立自訂角色群組

  • lxc-supervisor。受指派為此角色的使用者可在管理伺服器和所有受管理裝置上存取、配置和執行所有可用的作業。

    受指派為此角色的使用者一律能存取所有受管理裝置。您無法限制此角色對裝置的存取權。

  • lxc-admin。受指派為此角色的使用者可在管理伺服器上修改非安全性相關設定,和執行所有非安全性相關作業,包括能夠更新和重新啟動管理伺服器。此角色也能夠檢視有關管理伺服器及受管理裝置的所有配置和狀態資訊。
  • lxc-security-admin。受指派為此角色的使用者可在管理伺服器和受管理裝置上修改安全性設定,和執行安全性相關作業。此角色也能夠檢視有關管理伺服器及受管理裝置的所有配置和狀態資訊。

    受指派為此角色的使用者一律能存取所有受管理裝置。您無法限制此角色對裝置的存取權。

  • lxc-hw-admin。受指派為此角色的使用者可在受管理裝置上修改非安全性設定和執行非安全性相關作業,包括能夠更新和重新啟動受管理裝置。此角色也能夠檢視有關管理伺服器及所有受管理裝置的所有配置和狀態資訊。
  • lxc-fw-admin。受指派為此角色的使用者可建立韌體原則,並將這些原則部署至受管理裝置。未獲派此角色的使用者只能檢視原則資訊。
  • lxc-os-admin。獲派此角色的使用者可以下載作業系統和裝置驅動程式更新,並部署至受管理伺服器。未獲派此角色的使用者只能檢視作業系統和裝置驅動程式資訊。
  • lxc-service-admin。獲派此角色的使用者可以收集及下載 XClarity Administrator 和受管理裝置的服務檔案。未獲派此角色的使用者可以收集服務資料,但無法下載。
  • lxc-hw-manager。獲指派此角色的使用者可探索新裝置,並且讓這些裝置受到 XClarity Administrator 的管理控制。此角色禁止使用者在管理伺服器和受管理裝置上,執行超出探索和管理新裝置的必要作業以外的作業或修改配置設定。
  • lxc-operator。受指派為此角色的使用者可檢視有關管理伺服器和受管理裝置的所有配置和狀態資訊。此角色禁止使用者在管理伺服器和受管理裝置上執行作業或修改配置設定。
  • lxc-recovery。受指派為此角色的使用者可在管理伺服器上修改安全性設定,以及執行安全性相關作業。即使鑑別方法設定為外部 LDAP 伺服器,這些使用者仍可以直接驗證進入 XClarity Administrator。這個角色提供回復機制,以防使用登入認證配置的外部 LDAP 伺服器發生通訊錯誤。

    受指派為此角色的使用者一律能存取所有受管理裝置。您無法限制此角色對裝置的存取權。

下列預先定義的角色會保留,且不得用於建立新的角色群組或指派給新使用者。
  • lxc-sysrdr
  • lxc-sysmgr

程序

如果要建立自訂角色,請完成下列步驟。

  1. XClarity Administrator 功能表列上,按一下管理 > 安全性
  2. 按一下「使用者和群組」區段下的 角色,以顯示「角色管理」頁面。

    顯示「角色」頁面。
  3. 按一下建立圖示 (建立圖示) 建立角色。畫面上會顯示建立自訂角色對話框。

    顯示「建立自訂角色」對話框。
  4. 輸入角色名稱和說明。
  5. 選擇性的: 選取預先定義的角色作為此自訂角色的起點。

    如果您選取現有的角色,會選取對話框中與該角色相關聯的權限。

  6. 選取其他權限下拉功能表中選取或清除權限,以修改這個新角色的權限。
    如果您選取特定類別中的所有權限,且當您更新或升級 XClarity Administrator 時,權限會新增至該類別,新權限會自動新增至自訂角色
  7. 按一下建立。新角色會新增到「角色管理」頁面上的表格。

結果

您也可以執行下列動作。
  • 選取角色並按一下檢視圖示 (檢視圖示),可檢視與特定角色相關聯的權限。
  • 按一下編輯圖示 (編輯圖示) 重新命名或編輯自訂角色。當您編輯自訂角色時,可以變更選取的權限、說明以及與角色相關聯的使用者清單。
    您無法修改預先定義的角色
  • 按一下刪除圖示 (刪除圖示) 刪除預先定義或自訂的角色。
  • 新增或移除角色群組的角色(請參閱在角色群組中新增和移除多個使用者)。
  • 按一下所有動作 > 還原預設角色可還原先前刪除的所有預先定義的角色。