Mit der rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) für SaltStack Config können Sie Berechtigungseinstellungen für mehrere Benutzer gleichzeitig definieren, da die Berechtigungseinstellungen für eine Rolle automatisch für alle Benutzer gelten, denen die betreffende Rolle zugewiesen wurde. Sie können diese Einstellungen über die Benutzeroberfläche im Arbeitsbereich „Rollen“ festlegen.

Rollenberechtigungen sind additiv. Benutzer, denen mehrere Rollen zugewiesen sind, erhalten den Zugriff auf eine Kombination aller Funktionen, auf die die betreffenden Rollen jeweils Zugriff haben. Dadurch wird sichergestellt, dass Benutzer mit ähnlichen Hintergründen die gleichen Berechtigungseinstellungen erhalten und Benutzer mit einem breiteren Aufgabenbereich Zugriff auf alles erhalten, was sie benötigen.

Im Lieferumfang von SaltStack Config sind mehrere integrierte Rollen enthalten, die nicht gelöscht werden können. Darüber hinaus können Sie benutzerdefinierte Rollen für die individuellen Anforderungen Ihrer Organisation erstellen. Weitere Informationen hierzu finden Sie unter Standardrollen und -einstellungen.

Um einer Rolle die Berechtigung zum Abschließen einer Aufgabe zu erteilen, müssen Sie sowohl die zulässige Aufgabe definieren als auch den Zugriff auf eine Ressource oder einen Funktionsbereich zuweisen. Eine Berechtigung ist eine breite Kategorie zulässiger Aktionen, wohingegen Sie über den Ressourcenzugriff eine bestimmte Ressource (z. B. einen Auftrag oder ein Ziel) festlegen können, für die die Aktion ausgeführt werden darf. Weitere Informationen finden Sie unter Unterscheidung zwischen zulässigen Aufgaben und Ressourcenzugriff.

Der Ressourcenzugriff für bestimmte Ressourcentypen und Funktionsbereiche muss in der API (RaaS) statt im Rollen-Editor definiert werden. Weitere Informationen finden Sie unter Ressourcenzugriff.

Erstellen einer Rolle

In einigen Fällen kann das Klonen einer Rolle bequemer sein als das Erstellen einer neuen Rolle. Sie können eine vorhandene Rolle klonen und dann den Klon nach Bedarf ändern.

  1. Klicken Sie im seitlichen Menü auf Verwaltung > Rollen.
  2. Klicken Sie auf Erstellen.
  3. Geben Sie einen neuen Namen für die Rolle ein.
  4. Wählen Sie unter Aufgaben zulässige Aktionen aus, für die die Rolle berechtigt sein soll. Eine Beschreibung der verfügbaren Aufgaben finden Sie unter Aufgaben.
  5. Klicken Sie auf Speichern.

    Sie haben die erforderlichen Mindestschritte zum Erstellen einer Rolle abgeschlossen. Weitere Informationen zu den Einstellungen für die Rolle finden Sie unterBearbeiten einer Rolle.

Klonen einer Rolle

  1. Wählen Sie im Arbeitsbereich „Rollen“ die Rolle aus, die Sie klonen möchten.
    Hinweis: Aus Sicherheitsgründen kann die integrierte Superuser-Rolle nicht geklont werden, da es sich um einen reservierten Namen handelt.
  2. Klicken Sie auf Klonen.
  3. Geben Sie einen neuen Namen für die Rolle ein und klicken Sie dann auf Speichern.

    Sie haben die erforderlichen Mindestschritte zum Klonen einer Rolle abgeschlossen. Weitere Informationen zu den Einstellungen für die Rolle finden Sie unterBearbeiten einer Rolle.

    Hinweis: Geklonte Rollen übernehmen standardmäßig die zulässigen Aufgaben von der ursprünglichen Rolle. Geklonte Rollen übernehmen keinen Ressourcenzugriff. Dieser muss gesondert festgelegt werden. Weitere Informationen hierzu finden Sie unter Zuweisen des Zugriffs auf eine Aufgabe oder ein Ziel.

Bearbeiten einer Rolle

  1. Wählen Sie im Arbeitsbereich „Rollen“ die Rolle aus, die Sie bearbeiten möchten.
  2. Wählen Sie eine beliebige Registerkarte aus („Aufgaben“, „Ressourcenzugriff“, „Gruppen“ oder „Benutzer“), und bearbeiten Sie die Einstellungen für die Rolle nach Bedarf.

    Weitere Informationen zum Bearbeiten der einzelnen Registerkarten finden Sie unten.

  3. Nachdem Sie die Änderungen vorgenommen haben, klicken Sie auf Speichern, bevor Sie eine neue Registerkarte auswählen.
Hinweis: Oben wird beschrieben, wie Sie eine Rolle mit dem Standardeditor bearbeiten. SaltStack Config enthält auch einen erweiterten Editor, der nur für fortgeschrittene Benutzer empfohlen wird. Weitere Informationen zum erweiterten Editor finden Sie unter Erweiterte Berechtigungen.

Festlegen der zulässigen Aufgaben

  1. Wählen Sie im Arbeitsbereich „Rollen“ die Rolle aus, die Sie bearbeiten möchten.
  2. Wählen Sie unter Aufgaben zulässige Aufgaben aus, um sie der Rolle zuzuweisen. Aufgaben stellen häufige Anwendungsfälle in SaltStack Config dar. Wenn Sie eine Aufgabe aktivieren, erhält die Rolle die Berechtigungen für die Ausführung aller Funktionen, die zum Abschließen der Aufgabe erforderlich sind.

    Beschreibungen der Aufgaben finden Sie unter Aufgaben.

  3. Klicken Sie auf Speichern.
Hinweis: Neben der Zuweisung einer Berechtigung müssen Sie den Zugriff auf bestimmte Ressourcen (z. B. eine Aufgabe oder ein Ziel) aktivieren, für die die Rolle die Aktion ausführen soll. Weitere Informationen finden Sie unter Unterscheidung zwischen zulässigen Aufgaben und Ressourcenzugriff.

Zuweisen des Zugriffs auf eine Aufgabe oder ein Ziel

  1. Wählen Sie im Arbeitsbereich „Rollen“ die Rolle aus, die Sie bearbeiten möchten.
  2. Suchen Sie unter Ressourcenzugriff den gewünschten Auftrag oder das gewünschte Ziel und wählen Sie die Zugriffsebene aus, die Sie bereitstellen möchten. Um beispielsweise zuzulassen, dass eine bestimmte Rolle einen Auftrag ausführt, wählen Sie für den Auftrag die Berechtigung Lesen/Ausführen aus.

    Wird die Ressource, die Sie auswählen möchten, nicht angezeigt, klicken Sie auf Alle Ziele anzeigen oder Alle Aufträge anzeigen.


    roles-show-jobs

    In SaltStack Config werden Aufträge und Ziele jeweils als unterschiedliche Ressourcentypen betrachtet. Weitere Informationen zum Ressourcenzugriff finden Sie unter Ressourcenzugriff.

  3. Klicken Sie auf Speichern.
Hinweis: Neben der Zuweisung des Ressourcenzugriffs für einen Auftrag müssen Sie nicht nur die Berechtigung zum Ausführen von Aufträgen, sondern auch den Zugriff auf ein Ziel zuweisen, auf dem der Auftrag ausgeführt werden soll. Weitere Informationen finden Sie unter Unterscheidung zwischen zulässigen Aufgaben und Ressourcenzugriff.

Hinzufügen oder Entfernen von Gruppen

  1. Wählen Sie im Arbeitsbereich „Rollen“ die Rolle aus, die Sie bearbeiten möchten.
  2. Wählen Sie unter Gruppen die Gruppen aus, die Sie in die Rolle aufnehmen möchten.

    Gruppen werden über eine Verzeichnisdienstverbindung importiert. Falls die erwartete Gruppe nicht angezeigt wird, überprüfen Sie, ob Sie die Verbindung hinzugefügt und Gruppen synchronisiert haben.

    Alle Gruppen, die Sie aus Ihrer Verzeichnisdienstverbindung entfernen, werden archiviert. Obwohl sie inaktiv sind und Benutzer sich nicht anmelden können, sind sie immer noch im Arbeitsbereich „Rollen“ sichtbar.

    Hinweis: Rollenberechtigungen sind additiv. Benutzer in Gruppen, denen mehrere Rollen in Gruppen zugewiesen sind, erhalten den Zugriff auf eine Kombination aller Funktionen, auf die die betreffenden Rollen jeweils Zugriff haben.
  3. Klicken Sie auf Speichern.

    Den ausgewählten Gruppen, einschließlich aller Benutzer in diesen Gruppen, werden nun alle in den Rolleneinstellungen definierten zulässigen Aufgaben und Ressourcenzugriffe gewährt.

Hinzufügen oder Entfernen von Benutzern

Benutzer übernehmen die Berechtigungseinstellungen (z. B. Zuweisung zu einer Rolle) von den Gruppen, zu denen sie gehören. Eine Best Practice besteht darin, einzelne Benutzer nicht zu einer Rolle hinzuzufügen, sondern zu einer Gruppe, die zu der jeweiligen Rolle gehört. Alle neuen Benutzer sind dann standardmäßig in der entsprechenden Benutzerrolle enthalten. Weitere Informationen hierzu finden Sie unter Standardrollen und -einstellungen.

  1. Wählen Sie im Arbeitsbereich „Rollen“ die Rolle aus, die Sie bearbeiten möchten.
  2. Wählen Sie unter Benutzer die Benutzer aus, die Sie in die Rolle aufnehmen möchten.

    Über den Arbeitsbereich „Rollen“ können Sie Einstellungen für einzelne Benutzer, die in einer Verzeichnisdienstgruppe enthalten sind, erst nach der ersten Anmeldung des jeweiligen Benutzers verwalten. Weitere Informationen finden Sie unter Authentifizierung mit LDAP.

  3. Klicken Sie auf Speichern.

Weitere Informationen

Die folgenden Artikel bieten detailliertere Informationen Begriffen für SaltStack Config im Zusammenhang mit RBAC.