DO447管理用户和团队的访问–创建和管理Ansible Tower用户
RHCSA专栏:戏说 RHCSA 认证
RHCE专栏:戏说 RHCE 认证
此文章( 第七章 管理用户和团队的访问–创建和管理Ansible Tower用户 )收录在RHCA专栏:RHCA 回忆录
文章目录
📜7.1.1 基于角色的访问控制
不同的人使用Ansible Tower需要有不同的访问级别。有些可能只需要根据预先配置的机器清单运行现有的作业模板。其他人需要能够修改特定的清单、作业模板和剧本。还有一些人可能需要改变Ansible Tower中的任何东西。
Ansible Tower界面有一个内置的管理用户admin,它拥有访问整个Ansible Tower配置的超级用户权限。为每个人设置用户帐户可以更容易地管理对清单、凭据、项目和作业模板的个人访问。
分配给用户的角色赋予了权限,这些权限定义了谁可以查看、更改或删除Ansible Tower中的对象。使用基于角色的访问控制(Role-Based Access control, RBAC)管理角色。可以通过将角色授予团队(Team)来集体管理角色,团队是用户的集合。团队中的所有用户都继承团队的角色。
角色决定用户和团队是否可以查看、使用、更改或删除诸如inventory和project之类的对象。
📜7.1.2 Ansible Tower组织
Organization是用户、团队、项目和清单的逻辑集合,也是 Tower 对象层次结构的最高级别。
Ansible Tower组织是团队、项目和清单的逻辑集合。所有用户必须属于某个组织。
实现Ansible Tower的好处之一是能够在企业内跨部门或功能边界共享Ansible角色和剧本。例如,一个组织的操作组可能已经有了提供生产web、数据库和应用服务器的Ansible角色,开发人员组应该使用这些角色提供服务器来准备他们的开发环境。Ansible Tower让不同的用户和组更容易使用现有的角色和剧本。
但是,对于非常大的部署,对大量的用户、团队和项目进行分类是很有用的,和清单在一个伞形组织。某些部门可能不会部署到某些主机清单中,或运行某些剧本。通过使用组织,用户和团队的集合可以配置为只使用他们期望使用的那些Ansible Tower资源。
作为Ansible Tower安装的一部分,会创建一个默认组织。以下是使用Ansible Tower web界面创建其他组织的过程
-
以admin用户登录Ansible Tower的web界面。
-
单击左侧导航栏中的“组织”链接。
-
单击+按钮创建一个新的Organization。
-
在提供的字段中,输入新Organization的名称,如果需要,还可以输入可选的描述。
-
单击SAVE以完成新组织的创建。
📜7.1.3 用户类型
默认情况下,Ansible Tower安装程序会创建一个管理用户帐户,可以完全控制Ansible Tower的安装。使用特殊的管理帐号,Ansible Tower管理员可以登录web界面并创建其他用户。
Ansible Tower的三种用户类型是:
📑System Administrator
System Administrator系统管理员用户类型(也称为超级用户)提供了不受限制的访问权限,可以在整个Ansible Tower安装中执行任何操作。系统管理员是一个特殊的单例角色,对Ansible Tower上的所有组织中的所有对象具有读写权限。
由安装程序创建的admin管理员用户也具有单例系统管理员角色,因此只能由Ansible Tower管理员使用。
📑System Auditor
System Auditor用户类型还具有一个特殊的单例角色,该角色对整个Ansible Tower安装具有只读访问权限。
📑Normal User
Normal User是标准的用户类型。它最初没有分配特殊的角色,并且从最小的访问开始。它没有分配任何单例角色,只分配了与用户所属组织相关联的角色。
📜7.1.4 创建用户
以Ansible Tower管理员身份登录的用户可以通过执行以下步骤创建新用户:
单击左侧导航栏上的Users链接。
-
单击+按钮创建一个新用户。
-
在first name中输入新用户的名字、姓氏和电子邮件地址。姓。和电子邮件字段。
-
分别在USERNAME字段中,为新用户指定唯一的用户名。
-
单击ORGANIZATION字段旁边的放大镜图标,显示Ansible Tower内的组织列表。在列表中选择一个组织,单击“保存”。
-
在“password”和“CONFIRM password”字段中输入新用户所需的密码。
-
选择用户类型。
-
单击SAVE完成。
📜7.1.5 编辑用户
通过执行以下步骤,使用编辑用户界面编辑新创建用户的属性:
-
单击左侧导航栏上的Users链接。
-
单击用户要编辑的链接。
-
对所需的字段进行更改。
-
单击SAVE完成。
📜7.1.6 组织角色
新创建的用户根据其用户类型从其组织继承特定的角色。您可以在创建后为用户分配额外的角色,以授予查看、使用或更改其他Ansible Tower对象的权限。组织本身就是这些目标之一。组织中可以为用户分配四种角色:
📑Organizational Admin
当在某个组织上分配Admin角色时,用户将获得管理该组织的所有方面的能力,包括读取和更改该组织,以及从该组织中添加和删除用户和团队。
存在一些相关的管理角色,它们授予比Admin更多的有限访问:
Project Admin:可以创建、读取、更新和删除组织中的任何项目。结合Inventory Admin权限,这允许用户创建作业模板。
Inventory Admin:可以创建、读取、更新和删除组织中的任何清单。结合作业模板管理和项目管理角色,这允许用户完全控制组织内的作业模板。
Credential Admin:可以创建、读取、更新和删除共享凭证。
Notification Admin:可以分配通知。
Workflow Admin:可以在组织内创建工作流。
Job Template Admin:可以更改作业模板上的非敏感字段。要更改影响作业运行的字段,用户还需要作业模板上的Admin角色、相关项目上的Use角色以及相关目录中的Use角色。
📑Auditor
当用户被赋予组织的Auditor角色时,该用户对组织具有只读访问权限。
📑Member
当用户被赋予该组织的成员角色时,该用户将获得该组织的读权限。组织成员角色仅为用户提供查看组织成员及其分配的组织角色的用户列表的能力。
与组织管理员和审计员角色不同,成员角色不向用户提供对组织包含的任何资源的权限,如团队、凭据、项目、清单、作业模板、工作模板和通知。
📑Read
当用户被赋予该组织的“读”角色时,该用户只对该组织具有读权限。组织读角色仅为用户提供查看组织成员的用户列表及其分配的组织角色的能力。
与组织管理员和审计员角色不同,Read角色不继承组织包含的任何资源上的角色,如团队、凭据、项目、清单、作业模板、工作模板和通知。
不能在Ansible Tower资源上为Organization对象分配角色。因此,具有组织成员角色的用户只能访问该组织对象,由于此角色而不继承其他权限。因此,在组织中拥有Member成员角色的用户相当于在组织中拥有Read角色的用户。
📑Execute
当用户在组织中被分配了“执行”角色后,将获得在该组织中执行“作业模板”和“工作流作业模板”的权限。
📑重要:
具有系统管理员单例角色的用户在Ansible Tower中的每个组织上继承Admin角色。
具有系统Auditor单例角色的用户在Ansible Tower内的每个组织上继承Auditor角色。
如果创建的用户类型为“普通用户”,则在界面上分配“成员”角色,当用户在Ansible创建时,他们被分配到Ansible Tower,稍后可以添加其他角色,包括其他上的其他成员角色组织。
📑管理用户组织角色
“编辑用户”屏幕只允许更改用户类型和用户所属的组织。由于指定给用户的用户类型决定了其继承的组织角色,因此修改用户的组织和用户类型会影响其组织角色。
但是,对用户在组织中的角色进行全面管理需要以下程序:
-
在被修改的组织上,以admin或任何具有admin角色的用户登录Ansible Tower web界面。
-
单击左侧导航栏上的“组织”链接。
-
单击正在管理的组织下的Permissions链接。
将显示已授予组织角色的用户列表。
-
在ADD USERS/TEAMS屏幕中,在USERS下,选中所需用户旁边的复选框。
-
单击“SELECT ROLES”下拉框,为用户选择组织角色。该步骤可以重复执行多次,为一个用户添加多个角色。
注意:获取每个角色定义的列表。点击KEY按钮。
-
单击“SAVE”,为组织的用户分配角色。
-
单击角色前的X,可以删除用户中已经存在的角色。
📜7.1.7 课本练习
📑1. 使用admin帐号和redhat密码登录Ansible Tower。
📑2. 创建一个用户sam,作为普通用户。
2.1 在左侧导航栏转到用户。
2.2 单击按钮添加新用户。
2.3 在下一画面中,详细信息如下所示:
2.4 单击SAVE创建新用户。
📑3.验证新创建的sam用户的权限。
3.1 单击PERMISSIONS可以查看用户的权限。
3.2 如您所见,sam只是默认组织的成员。
3.3 单击右上角的“退出”图标退出,然后以sam的身份用redhat123的密码重新登录。
3.4 在左侧导航栏中,可以看到用户的访问权限受到限制。
3.5 在左侧导航栏中单击“用户”,管理用户权限。如您所见,sam不可能添加新用户。
3.6 单击右上角的“注销”图标即可注销。
📑4. 创建一个用户sylvia作为System Auditor。
4.1 以admin用户和redhat密码重新登录。
4.2在左侧导航栏中,单击“用户”,管理用户。
4.3 单击+按钮添加新用户。
4.4 在下一画面中,详细信息如下所示:
4.5 单击SAVE创建新用户。
📑5. 验证sylvia的权限。
5.1 单击PERMISSIONS可以查看用户的权限。
5.2 正如您所看到的,sylvia的角色是系统审计员。
5.3 注销并以sylvia的密码redhat123重新登录。
5.4 您可以看到用户可以访问左侧导航栏中的所有元素。
5.5 单击左侧导航中的“用户”,管理“用户”。如你所见,sylvia是不可能添加新用户的。
5.6 点击登出图标登出塔的网页界面。
📑6. 以系统管理员的身份创建一个用户simon。
6.1 以admin用户和redhat密码登录Tower的web界面。
6.2 在左侧导航栏中,单击“用户”,管理用户。
6.3 单击+按钮添加新用户。
6.4 在下一画面中,详细信息如下所示:
6.5 单击SAVE创建新用户。
📑7. 验证simon的权限。
7.1 单击PERMISSIONS可以查看用户的权限。这一次权限明确地说“系统管理员拥有所有权限”。
7.2 注销并以simon的身份登录,密码为redhat123。
7.3 可以看到,用户可以访问左侧导航栏中的所有元素。
7.4 在左侧导航栏中,单击“用户”,管理用户。如您所见,simon拥有创建新用户的权限
7.5 点击登出图标登出塔的网页界面。
💡总结
RHCA认证需要经历5门的学习与考试,还是需要花不少时间去学习与备考的,好好加油,可以噶🤪。
以上就是【金鱼哥】对 第七章 管理用户和团队的访问–创建和管理Ansible Tower用户 的简述和讲解。希望能对看到此文章的小伙伴有所帮助。
如果这篇【文章】有帮助到你,希望可以给【金鱼哥】点个赞👍,创作不易,相比官方的陈述,我更喜欢用【通俗易懂】的文笔去讲解每一个知识点,如果有对【运维技术】感兴趣,也欢迎关注?????? 【金鱼哥】??????,我将会给你带来巨大的【收获与惊喜】💕💕!
