Benutzermanagement

Verwenden Sie die rollenbasierten Benutzerbeschränkungen und Benutzerverwaltungsfunktionen zur Verwaltung von IBM Fusion HCI.

IBM Fusion HCI- Benutzeroberfläche ist mit OpenShift® Container Platform für einmaliges Anmelden konfiguriert. Wenn Sie sich zum ersten Mal bei der IBM Fusion HCI-Benutzeroberfläche und der OpenShift Container Platform web-Management-Konsole verwenden Sie den kubeadmin, der der Standardbenutzer für beide ist. Verwenden Sie zur Authentifizierung der Standardbenutzeranmeldung das Passwort, das während der Installation von IBM Fusion HCI generiert wurde.

Hinweis: Erstellen Sie aus Sicherheitsgründen einen Benutzer mit der Rolle cluster-admin und löschen Sie den Standardbenutzer kubeadmin .

Weitere Informationen über Rollen finden Sie in der Dokumentation OpenShift Container Platform unter Standard-Clusterrollen.

Benutzerrollen

Rollenbasierte Zugriffssteuerungsobjekte (RBAC) bestimmen, ob ein Benutzer eine Aktion innerhalb eines Projekts ausführen darf. Mithilfe der rollenbasierten Zugriffssteuerung können Sie die Ressourcen und Berechtigungen festlegen, die einem Benutzer zur Verfügung stehen. Die Rolle kann einem Benutzer oder einer Gruppe mit Rollenbindungen zugeordnet werden. Die Rollenbindung hat die Zuordnung einer Rolle zu einem Benutzer oder einer Benutzergruppe. Sie können Ihre Benutzer an die folgenden beiden OpenShift -Standardrollen auf Clusterebene binden:

Rolle	Berechtigungen
`cluster-admin`	Ein Superuser, der jede Aktion in jedem Projekt ausführen kann. Wenn sie an einen Benutzer mit einer lokalen Bindung gebunden sind, haben sie vollständige Kontrolle über das Kontingent und jede Aktion für alle Ressourcen im Projekt.
`view`	Ein Benutzer, der keine Änderungen vornehmen kann, aber die meisten Objekte in einem Projekt anzeigen kann Sie können keine Rollen oder Bindungen anzeigen oder ändern.

Sie können weitere Benutzer und Benutzergruppen erstellen. Sie können vorhandene Benutzer auch mithilfe der cluster-admin -Benutzerrollen aktualisieren oder löschen.

Benutzer zu einer Rolle hinzufügen

Schritt 1: Abrufen von Benutzer- und Rollendaten:

Um alle Benutzer und ihre clusterweiten Rollen abzurufen, führen Sie den folgenden Befehl aus:

oc get clusterrolebindings -o json | jq -r '.items[] | {role: .roleRef.name, users: .subjects[]?.name} | select(.users != null)'

Alternativ können Sie auch die folgenden Befehle ausführen:

Finden Sie alle Benutzer mit einer bestimmten Rolle:

oc get clusterrolebindings -o json | jq -r '.items[] | select(.roleRef.name == "<role>")
      | {role: .roleRef.name, users: .subjects[]?.name}'

Sie möchten zum Beispiel die Liste aller Benutzer mit der Rolle cluster-admin:

oc get clusterrolebindings -o json | jq -r '.items[] | select(.roleRef.name == "cluster-admin")
      | {role: .roleRef.name, users: .subjects[]?.name}'

Beispielausgabe:

{
  "Rolle": "cluster-admin",
   "Benutzer": "ft-admin"
}
{
  "Rolle": "cluster-admin",
   "Benutzer": "openshift-apiserver-operator"
}
{
  "Rolle": "cluster-admin",
   "Benutzer": "openshift-config-operator"
}{
  "Rolle": "cluster-admin",
   "Benutzer": "service-ca-operator"
}

Suche nach einer bestimmten Benutzerrolle in einem Cluster:

oc get clusterrolebindings -o json | jq -r '.items[] | select(.subjects[]?.name ==
      "<username>") | {role: .roleRef.name, user: "<username>"}'

Sie möchten zum Beispiel die Rolle von ft-admin in einem Cluster finden:

oc get clusterrolebindings -o json | jq -r '.items[] | select(.subjects[]?.name ==
      "ft-admin") | {role: .roleRef.name, user: "ft-admin"}'

Beispielantwort:

{
  "Rolle": "cluster-admin",
   "Benutzer": "ft-admin"
}

Schritt 2: Benutzer zu einer Rolle hinzufügen:

Benutzer zur Rolle cluster-admin hinzufügen:

oc adm policy add-cluster-role-to-user cluster-admin <username>

Fügen Sie zum Beispiel den Benutzer sf-admin zur Rolle cluster-admin hinzu:

oc adm policy add-cluster-role-to-user cluster-admin sf-admin

Benutzer zur Ansichtsrolle hinzufügen:

oc adm policy add-cluster-role-to-user view <username>

Fügen Sie zum Beispiel den Benutzer sf-usr zur Rolle view hinzu:

oc adm policy add-cluster-role-to-user view sf-usr

Um mehr über OpenShift Container Platform RBAC finden Sie unter RBAC verwenden, um Berechtigungen zu definieren und anzuwenden.

Weitere Informationen über Authentifizierung und Autorisierung finden Sie in der OpenShift Container Platform dokumentation unter Verstehen der Authentifizierung.

RBAC-Berechtigungen für die Benutzeroberfläche von IBM Fusion HCI

In der folgenden Tabelle werden die RBAC-Berechtigungen für die Benutzeroberfläche von IBM Fusion HCI angezeigt.

Tabelle 1 RBAC für IBM Fusion HCI-Benutzer
Benutzerschnittstellenseite oder Menüoption	Clusteradministrator	Benutzer anzeigen
Ereignisse	Sie können Ereignisse als behoben markieren	Sie können Ereignisse nicht als behoben markieren
Anwendungen	Sie können Anwendungen Richtlinien zuweisen Sie können die Anwendungssicherung wiederherstellen Sie können Anwendungsdetails bearbeiten Sie können Anwendungen für die Disaster-Recovery aktivieren oder inaktivieren.	Sie können Anwendungen keine Richtlinien zuordnen Anwendungssicherung kann nicht wiederhergestellt werden Sie können keine Anwendungsdetails bearbeiten Anwendungen können nicht für Disaster-Recovery aktiviert werden
Sicherungsrichtlinien	Sie können Richtlinien hinzufügen, bearbeiten und löschen. Sie können Sicherungspositionen hinzufügen, bearbeiten oder löschen	Sie können keine Richtlinien hinzufügen, bearbeiten oder löschen Sie können keine Sicherungspositionen hinzufügen, bearbeiten und löschen Wie Sie die Sicherung und Wiederherstellung Ihres Anwendungsnamensraums als View-Benutzer über CRs verwalten können, erfahren Sie unter Self-Service Backup & Restore
Sicherungsrichtlinien
Infrastruktur > Compute-Seite	Kann Knoten vergrößern oder Speicherplatten hinzufügen. Kann Knotenressourcen wie das Verschieben eines Knotens in die Wartung, das Einschalten eines Knotens usw. verwalten.	Aktualisieren der Größe von Knoten oder Hinzufügen von Speicherplatten nicht möglich. Knotenressourcen können nicht verwaltet werden.
Infrastruktur > Netzwerk Seite	Kann Befehle auf Switches ausführen Kann VLANs und Verbindungen hinzufügen.	Befehle für Switches können nicht ausgeführt werden. VLANs und Verbindungen können nicht hinzugefügt werden.
Einstellungen > Startseite anrufen.	Kann die Call-Home-Funktion von IBM aktivieren oder Call-Home-Details bearbeiten.	Die Call-Home-Funktion kann nicht aktiviert oder Call-Home-Details können nicht bearbeitet werden.
Seite „Einstellungen > Verschlüsselung“.	Kann Verschlüsselungseinstellungen bearbeiten. Kann Verschlüsselungseinstellungen löschen.	Verschlüsselungseinstellungen können nicht bearbeitet werden. Verschlüsselungseinstellungen können nicht gelöscht werden.
Klicken Sie in der Titelleiste auf das Hilfesymbol und wählen Sie Collect support logsaus.	Kann Protokolle und Protokollgruppen generieren Kann die Call-Home-Funktion aktivieren.	Protokolle oder Protokollgruppen können nicht generiert werden. Kann generierte Protokolle herunterladen.
Symbol für App-Umschalter in Titelleiste > Speicher (ausgehender Pfeil)	Kann Platte ersetzen (pdisk-Ersatz). Snap kann heruntergeladen werden. Kann Ereignisse verwalten (als behoben markieren, beheben, Tipp ausblenden, Benachrichtigung usw.).	Das System oder seine Ressourcen können nicht konfiguriert, geändert oder verwaltet werden.
Notfallwiederherstellung	Kann Standort 1, Standort 2 und Tiebreaker in Metro Sync DR einrichten. Kann lokale, ferne und Tiebreaker-Cluster aktualisieren Kann ein Failover von Anwendungen von einem Standort zu einem anderen durchführen	Site 1, Site 2 und Tiebreaker können in Metro Sync DR nicht eingerichtet werden. Upgrade für lokale, ferne Cluster und Tiebreaker-Cluster nicht möglich Kein Failover von Anwendungen von einem Standort auf einen anderen möglich
Dienstleistungsbereich	Kann IBM Fusion-Dienste aktivieren und deaktivieren Kann IBM Fusion-Dienste aktualisieren	Aktivieren und Deaktivieren von IBM Fusion-Diensten nicht möglich Upgrade der IBM Fusion-Dienste nicht möglich
Anwendungssymbol in der Titelleiste >OpenShift ausgehender Pfeil	Weitere Informationen zu den Berechtigungen der Rolle finden Sie unter RBAC verwenden, um Berechtigungen zu definieren und anzuwenden. Anmerkung: Die Menüoption ist verfügbar, um zur OpenShift -Konsole mit denselben Anmeldeberechtigungsnachweisen zu navigieren.

Identitätsanbieter konfigurieren

Schritt 1: Anbieter identifizieren

LDAP
Konfigurieren Sie das LDAP Ihres Unternehmens mit OpenShift für den Zugriff auf die Benutzeroberfläche von IBM Fusion HCI. Weitere Informationen und Verfahren finden Sie unter Konfigurieren eines LDAP-Identitätsanbieters.
httpasswd
Konfigurieren Sie den Identitätsanbieter httpassword, um Benutzer zu erstellen, die auf die OpenShift und IBM Fusion HCI-Benutzeroberfläche zugreifen können. Um den Benutzer mit dem Identitätsanbieter httpasswd zu konfigurieren, siehe https://docs.openshift.com/container-platform/4.15/authentication/identity_providers/configuring-htpasswd-identity-provider.html.

Schritt 2: Binden Sie Ihren Benutzer an eine Rolle oder eine Gruppe.: Der Benutzer oder die Gruppe kann die Rolle cluster-admin oder view haben.

Schritt 3: Melden Sie sich bei der Benutzeroberfläche von IBM Fusion HCI an: Melden Sie sich mit dem neu erstellten oder hinzugefügten Benutzer bei der Benutzeroberfläche von IBM Fusion HCI an.