Met het SaltStack Config-systeem voor op rollen gebaseerde toegangscontrole kunt u rechteninstellingen voor meerdere gebruikers tegelijk definiëren, omdat rechteninstellingen voor een rol van toepassing zijn op alle gebruikers die in de rol zijn opgenomen. U kunt deze instellingen definiëren in de werkplek Rollen in de gebruikersinterface.
Rolrechten zijn aanvullend. Gebruikers die aan meerdere rollen zijn toegewezen, ontvangen toegang tot een combinatie van alle items die zijn toegewezen vanuit elke rol. Zo zorgt u ervoor dat gebruikers met soortgelijke achtergronden dezelfde rechteninstellingen krijgen en dat gebruikers met een reeks verantwoordelijkheden toegang hebben tot alles wat zij nodig hebben.
SaltStack Config wordt geleverd met een aantal ingebouwde rollen die niet kunnen worden verwijderd. Daarnaast kunt u speciaal gedefinieerde rollen maken voor de unieke behoeften van uw organisatie. Zie Standaardrollen en -instellingen.
Als u een rolrecht wilt geven om een taak te voltooien, moet u zowel de toegestane taak definiëren als toegang tot een resource of functioneel gebied toewijzen. Een recht is een ruime categorie van toegestane acties, terwijl toegang tot resources u in staat stelt om een specifieke resource (bijvoorbeeld een opdracht of doel) te definiëren waarvoor de actie kan worden voltooid. Zie Verschil tussen toegestane taken en resourcetoegang.
Resourcetoegang voor bepaalde resourcetypen en functionele gebieden moet worden gedefinieerd in de API (RaaS) en niet in de editor Rollen (Roles). Zie Resourcetoegang.
Een rol maken
In sommige gevallen is het mogelijk gemakkelijker een rol te klonen dan een nieuwe te maken. U kunt een bestaande rol klonen en vervolgens de kloon waar nodig aanpassen.
- Klik op Beheer > Rollen (Administration > Roles) in het zijmenu.
- Klik op Maken.
- Voer een nieuwe naam in voor uw rol.
- Selecteer onder Taken (Tasks) toegestane acties om de rol toe te wijzen. Zie Taken voor een beschrijving van de beschikbare taken.
- Klik op Opslaan.
U moet de minimale stappen hebben voltooid die nodig zijn om een rol te maken. Zie Een rol bewerken voor meer informatie over het definiëren van de instellingen van de rol.
Een rol klonen
- Selecteer in de werkplek Rollen (Roles) de rol die u wilt klonen.
Opmerking: Om beveiligingsredenen kan de ingebouwde rol Supergebruiker (Superuser) niet worden gekloond omdat deze een gereserveerde naam is.
- Klik op Klonen (Clone).
- Voer een nieuwe naam voor uw rol in en klik vervolgens op Opslaan (Save).
U moet de minimale stappen hebben voltooid die nodig zijn om een rol te klonen. Zie Een rol bewerken voor meer informatie over het definiëren van de instellingen van de rol.
Opmerking: Standaard nemen gekloonde rollen toegestane taken over van de oorspronkelijke rol. Gekloonde rollen nemen geen resourcetoegang over, die afzonderlijk moet worden gedefinieerd. Zie Toegang toewijzen aan een opdracht of doel.
Een rol bewerken
- Selecteer in de werkplek Rollen (Roles) de rol die u wilt bewerken.
- Selecteer een tabblad uit Taken (Tasks), Resourcetoegang (Resource Access), Groepen (Groups) of Gebruikers (Users) en bewerk de rolinstellingen naar behoefte.
Zie hieronder voor meer informatie over het bewerken van elk tabblad.
- Klik op Opslaan (Save) nadat u wijzigingen heeft aangebracht, voordat u een nieuw tabblad selecteert.
Toegestane taken instellen
- Selecteer in de werkplek Rollen (Roles) de rol die u wilt bewerken.
- Selecteer onder Taken (Tasks) toegestane taken om de rol toe te wijzen. Taken zijn veelvoorkomende gebruiksscenario's in SaltStack Config. Het inschakelen van een taak geeft de rol alle rechten die nodig zijn om de taak te voltooien.
Zie Taken voor taakbeschrijvingen.
- Klik op Opslaan.
Toegang toewijzen aan een opdracht of doel
- Selecteer in de werkplek Rollen (Roles) de rol die u wilt bewerken.
- Zoek onder Resourcetoegang (Resource Access) de vereiste opdracht of het vereiste doel en selecteer het toegangsniveau dat u wilt bieden. Als u bijvoorbeeld wilt toestaan dat een rol opdrachten kan uitvoeren, selecteert u Lezen/Uitvoeren (Read/Run) voor de opdracht.
Als de resource die u wilt selecteren, niet wordt weergegeven, klikt u op Alle doelen weergeven (Show all Targets) of Alle opdrachten weergeven (Show all Jobs).
In SaltStack Config worden opdrachten en doelen als verschillende typen resources beschouwd. Zie Resourcetoegang voor meer informatie over resourcetoegang.
- Klik op Opslaan.
Groepen toevoegen of verwijderen
- Selecteer in de werkplek Rollen (Roles) de rol die u wilt bewerken.
- Selecteer onder Groepen (Groups) de groepen die u wilt opnemen in de rol.
Groepen worden geïmporteerd via een Directory Service-verbinding. Als u de verwachte groep niet ziet, moet u ervoor zorgen dat u de verbinding heeft toegevoegd en groepen heeft gesynchroniseerd.
Groepen die u uit de Directory Service-verbinding verwijdert, worden gearchiveerd. Hoewel ze inactief zijn en gebruikers zich niet kunnen aanmelden, zijn ze nog steeds zichtbaar in de werkplek Rollen (Roles).
Opmerking: Rolrechten zijn aanvullend. Gebruikers in groepen die aan meerdere rollen zijn toegewezen, ontvangen toegang tot een combinatie van alle items die zijn toegewezen vanuit elke rol. - Klik op Opslaan.
Aan de geselecteerde groepen, waaronder alle gebruikers in die groepen, worden nu alle toegestane taken en resourcetoegang verleend die zijn gedefinieerd in de rolinstellingen.
Gebruikers toevoegen of verwijderen
Gebruikers nemen rechtinstellingen (zoals het toewijzen van een rol) over van de groepen waar ze deel van uitmaken. U doet er daarom goed aan te voorkomen dat u individuele gebruikers aan een rol toevoegt, en de gebruiker toe te voegen aan een groep die tot de rol behoort. Alle nieuwe gebruikers maken standaard deel uit van de rol Gebruiker (User). Zie Standaardrollen en -instellingen.
- Selecteer in de werkplek Rollen (Roles) de rol die u wilt bewerken.
- Selecteer onder Gebruikers (Users) de gebruikers die u wilt opnemen in de rol.
Met de werkplek Rollen (Roles) kunt u instellingen voor individuele gebruikers die in een Directory Service-groep zijn opgenomen, alleen beheren na de eerste aanmelding van de gebruiker. Zie Verificatie met LDAP voor meer informatie.
- Klik op Opslaan.
Voor meer informatie
De volgende artikelen bevatten uitgebreidere informatie over RBAC-gerelateerde concepten voor SaltStack Config.