【问题标题】:how to create a rundeck user manually with read-only access to one, many, or all rundeck projects如何手动创建具有对一个、多个或所有 rundeck 项目的只读访问权限的 rundeck 用户
【发布时间】:2020-02-28 21:18:01
【问题描述】:

在 /etc/rundeck/realm.properties 中,内联的文档说得委婉些。

admin 的默认值是:

admin:,user,admin,architect,deploy,build

现在我想创建所有没有写入或创建能力的用户,除了我和另一个用户以及所有项目。

“John Doe”的合适字段是什么?

jdoe:,........填写........

非常感谢 - 如果有文件清楚地指出这一点,那也很好。

干杯。

【问题讨论】:

    标签: rundeck


    【解决方案1】:
    1. this 方式添加您的用户:

      username:password,group1,group2,group3,groupn

    2. 现在,您需要添加一个ACL(访问控制列表)来管理新用户(或使用该用户定义的新组)。转到齿轮图标 -> 访问控制 -> + 创建新 ACL 按钮。

    例如,此 ACL 专注于“group1”(仅执行作业):

    # Project scope
    description: project level ACL.
    context:
      project: 'MyProject'
    for:
      resource:
        - equals:
            kind: event
          allow: [read] # allow read of all activity (jobs run by all users)
      job:
        - allow: [run, read] # allow read of all jobs
      adhoc:
        - deny: run # don't allow adhoc execution
      node:
        - allow: [read, run] # allow run on nodes with the tag 'mytag'
    by:
      group: group1
    
    ---
    
    # Application scope
    description: application level ACL.
    context:
      application: 'rundeck'
    for:
      project:
        - match:
            name: 'MyProject'
          allow: [read]
    by:
      group: group1
    

    请记住,您可以使用LDAP/AD 来获取用户和组,或使用PAM

    另外,这里有一个很好的 ACL 示例。

    【讨论】:

    • 不幸的是,它仍然允许删除作业和其他非只读活动。它由管理员测试,创建一个“whoami”作业的克隆,添加上述 acl 后注销,项目名称专门从 MyProject 到此处的项目名称,然后注销,以属于 group1 的用户身份登录在 /etc/rundeck/realm.properties(名为 testuser 的用户)中,然后 testuser 能够删除 whoami 重复作业。 :-(
    • 你确定吗?我再次测试了该 ACL,“group1”组的任何用户都无法更改任何内容。请记住,ACL 在保存后大约一分钟生效:-)
    • 另外,请检查另一个 ACL 是否不会覆盖第一个 ACL 的规则。问候!
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2016-12-14
    • 2013-10-30
    • 2019-03-06
    • 1970-01-01
    • 2019-12-15
    • 1970-01-01
    相关资源
    最近更新 更多