3.6.5 Настройка дискретных прав

        Для того, чтобы создать пользователя с определенным набором прав и привилегий необходимо руководствоваться определенному алгоритму действий. Ниже представлен примерный алгоритм корректных действий, включающем в себя 4 обязательных этапа.

        1 Этап. Создание Роли
        На 1 этапе необходимо создать Роль, которая отвечает за визуальное отражение интерфейса системы пользователя и отвечает за более тонкую настройку допустимых действий. На 2 этапе создается Группа, к которой будет относится пользователь. На 3 этапе создается Пользователь, обязательными параметрами для которого выступает Роль и Группа. На 4 этапе формируется Список контроля доступа, который будет ограничивать его действия.
        Для создания Роли необходимо перейти в раздел Настройки системы выбирать вкладку Роли нажать на кнопку Создать.

         В открывшемся меню создания Роли, указывается Название, устанавливаются галочки напротив бокового меню, которое будет доступно для просмотра конкретному пользователю с данной ролью. После этого опускаемся ниже к более детальной настройке каждой из выбранных вкладок и таким же образом устанавливаем все необходимые параметры.


        Каждая вкладка имеет определенный столбец с набор настроек:

• Панель – внутренние вкладки объекта, которые отражают определенную информацию о нем.

• Действия. Меню управления объектом, т.е. действия, которые можно выполнять с объектом.

• Столбцы таблицы. Рабочая область объекта.

• Вкладки, применимы только к шаблонам.

        Для просмотра настроенной Роли в правом верхнем углу необходимо нажать вкладку admin выбирать Роли и нажать на Имя конкретной роли. Для возврата к работе с СГУ, осуществляется аналогичная процедура с выбором роли admin.



         Редактирование и копирование существующей Роли происходит путем перехода во вкладку Роли, нажатия на Имя необходимой роли. После чего будет доступно редактирование роли с последующим ее сохранением и функция копирования.

1. Этап. Создание Группы

        Следующим шагом является создание Группы. Для этого необходимо перейти в раздел Настройки системы выбирать вкладку Группы нажать на кнопку Создать.

        Раздел Общие содержит поле Название – имя группы, как оно будет отображаться в системе.

        Раздел Администрирование позволяет создать пользователя группы с административными правами. Содержит поля:

• Имя пользователя,
• Пароль
• Подтвердите пароль
• Способ аутентификации.
• Роль, которой будет обладать именно этот пользователь.

        Раздел Права позволяет выдавать разрешения на создание ресурсов для пользователей группы.

1. Этап. Создание Пользователя

        Окно создания пользователя содержит следующие поля:

• Имя пользователя – имя пользователя, как оно будет отображаться в системе.
• Пароль и подтвердить пароль – пароль пользователя.
• Способ аутентификации содержит несколько вариаций, основные из которых:
  • ядро - для доступа через веб-интерфейс;
  • x509 – для доступа по протоколу x509;
  • ldap – для доступа пользователей из Active Directory по протоколу LDAP.
• Роль, которой будет обладать именно этот пользователь.
• Основная группа – группа, в которую будет входить пользователь.

        В случае если пользователь создан ему можно изменить определённые параметры. Для этого необходимо перейти в раздел пользователи и выбрать конкретного, путем нажатия на его Имя.

        Открывшееся меню содержит ряд вкладок. Вкладка Информация позволяет изменить Язык интерфейса, Роль и Token, путем нажатия на кнопку редактирования.

        Вкладка Группы позволяет изменить Основную и Вторичную группу. Для этого необходимо нажать кнопку Изменить, выполнить необходимые изменения, после чего нажать на кнопку Применить изменения.

        Вкладка отчетность позволяет получить информацию об использовании ресурсов инфраструктуры за определенный период.

        Вкладку Аутентификация позволяет сменить Драйвер аутентификации, Пароль, Токен входа и Публичный ключ SSH, путем нажатия на кнопку редактирования.

1. Этап. Создание Списков контроля

        При создании группы в системе дефолтно создается набор определенных политик в разделе Списки контроля, их необходимо выделить и Удалить. После этого нажать на кнопку Создать.

        Окно создания списка контроля содержит несколько областей:

• Область применения можно указать, для кого будут назначаться права (Все, Пользователь или Группа). При выборе Пользователь или Группа появится раскрывающийся список существующих пользователей/групп.
• Затрагиваемые ресурсы можно установить ресурсы, к которым будет представлен доступ.
• Подмножество ресурсов:
• Все – правило будет распространено все ресурсы системы, отмеченные в Затрагиваемых ресурсах.
• ID – позволяет применить правило для конкретного ID ресурса, применимо только к «Затрагиваемым ресурсам» - Группы, Зоны и Пользователи.
• Группа – представляет собой выпадающий список с перечнем групп и применяет правило только к тем ресурсам, которые относятся к данной группе.
• Кластер - представляет собой выпадающий список с перечнем кластеров и применяет правило только к тем ресурсам, которые относятся к данному кластеру.
• Разрешенные действия позволяет определить доступные операции для выбранных ресурсов:
• Представление – отвечает за отображение ресурсов, т.е. их видимость для пользователя.
• Пользование – позволяет использовать ресурс, без внесения в него изменений (например, использование ВМ, образа или виртуальной сети).
• Управление – позволяет вносить изменения в ресурс (например, остановка ВМ, изменение ее ресурсов, изменение атрибута образа виртуального диска на «постоянный» и т.д.).
• Администрирование – специальные операции (например, создание/удаление ролей, изменение параметров узлов и кластеров). Данные операции должны назначаться только пользователям с ролью администратора.
• Создать – операции создания нового ресурса.

После выбора всех необходимых настроек, нажимается кнопка Создать.