Благодаря системе контроля доступа на основе ролей (RBAC) в SaltStack Config можно определить настройки разрешений сразу для нескольких пользователей, так как эти настройки для роли применяются ко всем пользователям в рамках данной роли. Эти настройки можно определить в рабочей области «Роли» в пользовательском интерфейсе.
Разрешения для ролей являются кумулятивными. Пользователи, которым назначено несколько ролей, получают доступ ко всем разрешениям, предоставляемым каждой ролью. Благодаря этому пользователи с похожими обязанностями получают одни и те же настройки разрешений, а пользователи с широкими обязанностями имеют доступ ко всем необходимым функциям.
В SaltStack Config включено несколько встроенных ролей, которые нельзя удалить. Кроме того, при необходимости можно создать специальные настраиваемые роли для организации. См. раздел Стандартные роли и настройки.
Для предоставления обладателю роли разрешения на выполнение задачи необходимо определить разрешенную задачу, а также назначить доступ к ресурсу или функциональной области. Разрешение представляет собой широкую категорию допустимых действий, тогда как доступ к ресурсам позволяет определить конкретный ресурс (например, задание или целевой объект), для которого можно выполнить заданное действие. См. раздел Разница между разрешенными задачами и доступом к ресурсам.
Доступ к ресурсам для некоторых типов ресурсов и функциональных областей следует определять в API-интерфейсе (RaaS), а не в редакторе ролей. См. раздел Доступ к ресурсам.
Создание роли
В некоторых случаях может быть удобнее клонировать существующую роль, чем создать новую. Можно сначала клонировать существующую роль, а затем изменить клон требуемым образом.
- В боковом меню выберите Администрирование > Роли.
- Щелкните Создать.
- Введите новое имя для своей роли.
- В разделе Задачи выберите разрешенные действия для роли. Описание доступных задач см. в разделе Задачи.
- Нажмите Сохранить.
Вы выполнили минимально необходимые действия для создания роли. Дополнительные сведения об определении настроек роли см. в Редактирование роли.
Клонирование роли
- В рабочей области «Роли» выберите роль, которую нужно клонировать.
Примечание: Из соображений безопасности встроенную роль «Привилегированный пользователь» клонировать нельзя, так как это зарезервированное имя.
- Нажмите кнопку Клонировать.
- Введите новое имя для своей роли, а затем нажмите Сохранить.
Вы выполнили минимально необходимые действия для клонирования роли. Дополнительные сведения об определении настроек роли см. в Редактирование роли.
Примечание: Клонированные роли наследуют разрешенные задачи из исходной роли по умолчанию. Клонированные роли не наследуют доступ к ресурсам, который необходимо определить отдельно. См. раздел Назначение доступа к заданию или целевому объекту.
Редактирование роли
- В рабочей области «Роли» выберите роль, которую нужно отредактировать.
- Перейдите на любую вкладку («Задачи», «Доступ к ресурсам», «Группы» или «Пользователи») и отредактируйте настройки роли требуемым образом.
Дополнительные сведения о редактировании на каждой вкладке см. ниже.
- Перед переходом на другую вкладку нажмите Сохранить после внесения изменений.
Настройка разрешенных задач
- В рабочей области «Роли» выберите роль, которую нужно отредактировать.
- На вкладке Задачи выберите разрешенные задачи для назначения роли. Задачи представляют собой типовые примеры использования в SaltStack Config. Активация задачи предоставляет роли все разрешения, необходимые для ее выполнения.
Описание задач см. в разделе Задачи.
- Нажмите Сохранить.
Назначение доступа к заданию или целевому объекту
- В рабочей области «Роли» выберите роль, которую нужно отредактировать.
- На вкладке Доступ к ресурсам найдите требуемое задание или целевой объект и выберите нужный уровень доступа. Например, чтобы разрешить роли выполнять задания, необходимо выбрать уровень Чтение/выполнение.
Если ресурс, который нужно выбрать, не отображается, щелкните Показать все целевые объекты или Показать все задания соответственно.
В SaltStack Config задания и целевые объекты считаются разными типами ресурсов. Дополнительные сведения о доступе к ресурсам см. в разделе Доступ к ресурсам.
- Нажмите Сохранить.
Добавление или удаление групп
- В рабочей области «Роли» выберите роль, которую нужно отредактировать.
- На вкладке Группы выберите группы, которые необходимо включить в роль.
Импорт групп выполняется через соединение со службой каталогов. Если нужная группа не отображается, убедитесь, что вы добавили соединение и синхронизировали группы.
Все группы, которые вы удаляете из соединения со службой каталогов, архивируются. Даже в том случае, если пользователи не активны и не могут войти в систему, они по-прежнему отображаются в рабочей области «Роли».
Примечание: Разрешения для ролей являются кумулятивными. Пользователи в группах, которым назначено несколько ролей, получают доступ к комбинации всех элементов, предоставляемых каждой ролью. - Нажмите Сохранить.
Выбранным группам, включая всех пользователей в этих группах, теперь предоставляется доступ ко всем разрешенным задачам и ресурсам, определенным в настройках роли.
Добавление или удаление пользователей
Пользователи наследуют настройки разрешений (например, назначение роли) из групп, к которым они относятся. Рекомендуется добавлять отдельных пользователей не в состав обладателей роли, а в группу, которая относится к данной роли. Все новые пользователи получают роль «Пользователь» по умолчанию. См. раздел Стандартные роли и настройки.
- В рабочей области «Роли» выберите роль, которую нужно отредактировать.
- На вкладке Пользователи выберите пользователей, которым необходимо присвоить роль.
Рабочая область «Роли» позволяет управлять настройками для отдельных пользователей, включенных в группу «Служба каталогов», только после первого входа пользователя в систему. Дополнительные сведения см. в разделе Проверка подлинности по протоколу LDAP.
- Нажмите Сохранить.
Дополнительные сведения
В следующих статьях содержится более подробная информация о связанных с RBAC понятиях, которые используются в SaltStack Config.