7.8. 基于角色的身份验证

通过为用户分配角色,可以根据一组权限来控制对 Satellite 组件的访问。您可以认为基于角色的身份验证,作为隐藏不应与之交互的用户的不必要的对象的一种方式。

有各种标准来区分组织内的不同角色。除了管理员角色外,以下类型也很常见:

  • 与应用程序或基础架构部分 相关的角色 - 例如,作为操作系统而不是应用服务器所有者的角色。
  • 与软件生命周期的特定阶段 相关的角色 - 例如,角色划分到开发、测试和产品阶段,每个阶段都具有一个或多个所有者。
  • 与特定任务相关的角色 -如安全管理器或许可证管理器。

在定义自定义角色时,请考虑以下建议:

  • 定义预期的任务和职责 - 定义卫星基础架构的子集,该角色可以访问,以及此子集中允许的操作。想想角色职责,以及如何与其他角色不同。
  • 在可能的情况下,尽可能使用预定义的角色 - Satellite 提供了多个示例角色,它们可以单独或作为角色组合的一部分使用。复制并编辑现有角色是创建自定义角色的良好起点。
  • 考虑所有受影响的实体 - 例如,内容视图提升会自动为特定生命周期环境和内容视图组合创建新的 Puppet 环境。因此,如果角色希望提升内容视图,它也需要相应的权限来创建和编辑 Puppet 环境。
  • 考虑感兴趣的领域 - 即使角色具有有限的责任,但可能会更广的关注领域。因此,您可以授予该角色对影响其职责的卫星基础架构部分的只读访问权限。这允许用户更早地访问潜在的更改信息。
  • 通过步骤添加权限步骤 - 测试您的自定义角色,以确保它按预期工作。如果出现一组有限的权限,则最好使用一组有限,逐步添加权限步骤,并持续测试。

有关定义角色并将其分配给用户的说明,请参阅 管理 Red Hat Satellite 中的管理用户和角色。相同的指南包含有关配置外部身份验证源的信息。