7.8. 基于角色的身份验证

为用户分配角色可根据一组权限控制对 Satellite 组件的访问。您可以考虑基于角色的身份验证,作为从不应该与它们交互的用户隐藏不必要的对象的方法。

有不同的条件来区分组织内的不同角色。除了管理员角色外,以下类型也很常见:

  • 与应用程序或基础架构相关的角色( 例如,Red Hat Enterprise Linux 所有者作为操作系统而不是应用程序服务器和数据库服务器的所有者)的角色。
  • 与软件生命周期的特定阶段 相关的角色(例如,角色划分到开发、测试和生产阶段),其中每个阶段具有一个或多个所有者。
  • 与特定任务相关的角色 - 例如安全管理器或许可证管理器。

在定义自定义角色时,请考虑以下建议:

  • 定义预期的任务和职责 - 定义卫星基础架构的子集,该基础架构将可以被角色访问,以及此子集上允许的操作。认为角色的职责以及它们与其他角色有何不同。
  • 尽可能使用预定义的角色 - Satellite 提供了多个示例角色,它们可以单独使用或作为角色组合的一部分。复制和编辑现有角色可能是一个好的起点,用于创建自定义角色。
  • 例如,考虑所有受影响的实体 - 例如,内容视图提升会自动为特定生命周期环境和内容视图组合创建新的 Puppet 环境。因此,如果某个角色应该提升内容视图,它也需要创建和编辑 Puppet 环境的权限。
  • 考虑到关注方面 --尽管角色数量有限,但可能还有更多关注领域。因此,您可以授予角色对影响其职责的卫星基础架构部分的只读访问。这允许用户提前访问有关潜在的更改的信息。
  • 按步骤添加权限步骤 - 测试您的自定义角色以确保它按预期工作。如果问题发生,最好是以有限的权限集合开始,逐步添加权限,并持续测试。

有关定义角色并将其分配给用户的说明,请参阅管理 红帽卫星中的 用户和角色。同一指南包含有关配置外部身份验证源的信息。