金鱼哥RHCA回忆录:DO447管理用户和团队的访问--用团队有效地管理用户

举报
金鱼哥 发表于 2022/06/23 17:47:49 2022/06/23
【摘要】 第七章 管理用户和团队的访问--用团队有效地管理用户

🎹 个人简介:大家好,我是 金鱼哥,CSDN运维领域新星创作者,华为云·云享专家,阿里云社区·专家博主
📚个人资质:CCNA、HCNP、CSNA(网络分析师),软考初级、中级网络工程师、RHCSA、RHCE、RHCA、RHCI、ITIL😜
💬格言:努力不一定成功,但要想成功就必须努力🔥


📜7.2.1 团队

团队是一组用户。团队使管理Ansible Tower对象(如inventory、Projects和Job Templates)上的角色比为每个用户单独管理它们更有效。作为团队成员的用户继承分配给该团队的角色。

Ansible Tower管理员可以为代表一组用户的团队分配角色,而不是将相同的角色分配给多个用户。

在Ansible Tower中,用户作为整个Tower的对象存在。一个用户可以拥有多个角色组织。一个团队只属于一个组织,但却是一个Ansible Tower系统管理员可以在属于其他组织的资源上分配团队角色。


📑重要:

一个团队属于一个特定的组织,但是它不能像单个用户那样在一个组织对象上分配角色。为了管理组织对象,角色必须直接分配给特定的用户。团队可以在属于特定组织的资源上分配角色,例如项目、清单或作业模板。


📜7.2.2 创建团队

使用以下过程在每个组织中创建团队。

  • 作为管理用户或为您打算在其中创建新团队的组织分配管理角色的用户登录Ansible Tower web界面。

  • 单击左侧导航栏上的Teams链接。

  • 点击+按钮

  • 在New Team屏幕上,在name字段中输入新Team的名称。

  • 对于所需的ORGANIZATION字段,单击放大镜图标以获得Ansible Tower内的组织。在SELECT ORGANIZATION屏幕中,选择在组织中创建Team,然后单击SAVE。

  • 单击SAVE以完成新Team的创建。


📜7.2.3 团队角色

用户可以为特定的团队分配角色。这些角色控制用户是否被认为是该团队的一部分,是否可以管理该用户,或者是否可以查看其成员关系。

用户可以被分配一个或多个以下团队角色:


📑member

团队member成员角色允许用户继承授予团队的Ansible Tower资源上的角色。它还授予用户查看团队用户和相关团队角色的能力。


📑admin

团队admin管理角色授予用户对团队的完全控制。具有此团队角色的用户可以管理团队的用户及其关联的团队角色。具有团队管理角色的用户还可以在分配给团队管理角色的资源上管理团队的角色。

当资源也授予其自身团队管理角色时,具有团队管理角色的用户只能管理资源上的团队角色。仅仅因为团队管理员可以管理团队成员,并不意味着团队管理员拥有任何权限来管理团队有权访问的对象上的角色。

例如,要将项目的使用角色授予团队,用户必须同时拥有团队和项目的管理角色。


📑read

团队read角色允许用户查看团队的用户及其关联的团队角色。分配给团队读取角色的用户不会继承团队在Ansible Tower资源上授予的角色。


📑注意:

在实践中,大多数组织不使用团队成员以外的角色,而当前的红帽Ansible Tower web Ul使设置这些其他角色变得更加困难。作为替代,团队成员通过外部身份验证源进行管理,或者组织管理员和系统管理员角色用于管理目的,而系统Auditor用于审核需求(而不是读取单个团队)。


📜7.2.4 向团队添加用户

完成Team创建之后,您可以将用户添加到Team中。要将具有成员角色的用户添加到组织中的团队中,请执行以下步骤:

  • 以管理员用户或团队所属组织的管理员角色用户登录Ansible Tower web界面。

  • 在左侧导航栏单击“组织”链接。

  • 单击团队所属组织下的TEAMS链接。

  • 在Teams屏幕上。单击Team的名称将用户添加到其中。

  • 在Team details屏幕上。单击USERS按钮。

  • 单击+按钮。
    在这里插入图片描述

  • 在ADD USERS屏幕上,选择一个或多个要添加到Team的用户。然后,单击SAVE保存您的编辑,将用户添加到Team中。


📑设置团队角色

从Red Hat Ansible Tower 3.4, 添加用户与管理或读取角色的团队在一个组织需要tower-cli工具,一个命令行工具的Red Hat Ansible Tower REST API,或直接与Red Hat Ansible Tower API。tower-cli role grant命令授予一个用户(使用–user flag指定)一个角色(使用–type flag指定),并授予一个团队(使用–target-team flag指定)。下面的示例将管理员角色授予operator团队中的joe。

[student@workstation ~]$ tower-cli role grant --user ‘joe’ –target-team ‘Operators’ --type 'admin’

下面的示例将read角色授予了Architects团队中的jennifer。

[student@workstation ~]$ tower-cli role grant --user ‘jennifer’ --target-team ‘Architects’ --type 'read’

注意:使用tower-cli时,需要执行tower-cli config命令指定Red Hat Ansible Tower的主机,以及访问的用户名和密码。可以使用tower-cli config verify_ssl false命令允许未验证的SSL连接。


📜7.2.5 课本练习

[student@workstation ~]$ lab org-team start

📑1. 创建一个名为Developers的新团队。

1.1 以admin用户和redhat密码登录Tower的web界面。

1.2 单击左侧导航栏中的Teams以管理Teams。

1.3 单击+按钮添加一个新的Team。

1.4 在下一画面中,详细信息如下所示:
在这里插入图片描述

1.5 单击SAVE以创建新的Team。


📑2. 创建一个用户,该用户将是新创建的Developers Team的管理员。

2.1 在左侧导航栏中,单击“用户”,管理用户。

2.2 单击+添加新用户。

2.3 在下一画面中,详细信息如下所示:
在这里插入图片描述

注意:我们正在创建Developers团队的管理员,而不是系统管理员。这就是为什么在这里将用户类型设置为Normal User。

2.4.单击SAVE创建新用户。
在这里插入图片描述


📑3. 打开一个终端,并使用tower-cli工具将Developers团队中的管理员角色分配给daniel用户。

在这里插入图片描述

[student@workstation ~]$ tower-cli role grant --user 'daniel' --target-team 'Developers' --type 'admin'
Resource changed.
== ==== ===== =========== 
id user type  target_team 
== ==== ===== =========== 
29    4 admin N/A
== ==== ===== ===========

在前面的输出中,target_team列中预期包含N/A。
在这里插入图片描述


📑4. 创建donnie用户并授予她Developers团队的Read角色。

4.1 回到Tower的web界面,点击左侧导航栏中的Users来管理用户。

4.2 单击+添加新用户。

4.3 在下一画面中,详细信息如下所示:

4.4.单击SAVE创建新用户。
在这里插入图片描述


📑5. 打开终端,使用tower-cli工具为Developers团队的donnie用户分配read角色。

[student@workstation ~]$ tower-cli role grant --user 'donnie' --target-team 'Developers' --type 'read'
Resource changed.
== ==== ==== =========== 
id user type target_team 
== ==== ==== =========== 
31    5 read N/A
== ==== ==== ===========

在这里插入图片描述


📑6. 创建一个用户david,将其授予Developers团队Member角色。

6.1 回到Tower的web界面,点击左侧导航栏中的Users来管理用户。

6.2 单击以添加新用户。

6.3 在下一画面中,详细信息如下所示:
在这里插入图片描述

6.4 单击SAVE创建新用户。
在这里插入图片描述


📑7. 将Developers团队的Member角色分配给david。

7.1 单击左侧导航栏中的Teams以管理Teams。

7.2 单击前面创建的Developers团队的链接。

7.3 单击USERS按钮来管理团队的用户。

7.4 单击+向Team添加一个新用户。

7.5 选中david旁边的复选框来选择这个用户。

7.6 点击SAVE并点击Log Out图标退出Tower的web界面。
在这里插入图片描述


📑8. 验证daniel用户的权限

8.1 以daniel的身份登录Tower的web界面,密码为redhat123。

8.2 单击左侧导航栏中的Teams以管理Teams。

8.3 单击开发团队的链接

8.4 单击USERS按钮来管理分配给Team的用户。

8.5 单击+按钮。如您所见,daniel可以在这个团队中为自己添加和管理角色分配。点击取消

8.6 点击登出图标退出Tower的网页界面。


📑9. 验证donnie用户的权限

9.1 用donnie的密码redhat123登录Tower的网页界面。

9.2 单击左侧导航栏中的Teams以管理Teams。

9.3 单击前面创建的开发团队的链接。用户donnie可以查看分配给她Read角色的Team的设置。

9.4 单击USERS按钮,您应该看到donnie看到了属于开发团队的所有用户(包括系统审计员和系统管理员),但是没有管理该团队中的用户或用户角色的权限。

9.5 点击登出图标退出Tower的网页界面。


📑10.验证david用户的权限

10.1 以david的身份登录Tower的web界面,密码为redhat123

10.2 单击左侧导航栏中的Teams以管理Teams

10.3 单击前面创建的开发团队的链接

10.4 单击USERS按钮,您应该看到,与donnie一样,david看到了属于开发团队的所有用户,包括系统审计员和系统管理员,但是没有管理该团队中的用户或用户角色的权限。

10.5 点击登出图标退出Tower的网页界面。


📜7.3 章节实验

此实验不做笔记,自行进行练习。

此实验需要完成,因为后面实验依赖此实验的team。

[student@workstation ~]$ lab org-review start


💡总结

RHCA认证需要经历5门的学习与考试,还是需要花不少时间去学习与备考的,好好加油,可以噶🤪。

以上就是【金鱼哥】对 第七章 管理用户和团队的访问–用团队有效地管理用户 的简述和讲解。希望能对看到此文章的小伙伴有所帮助。

💾红帽认证专栏系列:
RHCSA专栏:戏说 RHCSA 认证
RHCE专栏:戏说 RHCE 认证
此文章收录在RHCA专栏:RHCA 回忆录

如果这篇【文章】有帮助到你,希望可以给【金鱼哥】点个赞👍,创作不易,相比官方的陈述,我更喜欢用【通俗易懂】的文笔去讲解每一个知识点。

如果有对【运维技术】感兴趣,也欢迎关注❤️❤️❤️ 【金鱼哥】❤️❤️❤️,我将会给你带来巨大的【收获与惊喜】💕💕!

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。