Download PDF
Download page Управление полномочиями.
Управление полномочиями
У большинства ресурсов ПК СВ имеются соответствующие разрешения для его владельца (owner), пользователей группы (group) и других пользователей (others). Для каждой из этих категорий можно назначить три типа полномочий: USE (применение), MANAGE (управление) и ADMIN (администрирование). Эти полномочия соответствуют следующим операциям:
USE
— операции, которые не изменяют ресурс, такие как просмотр или использование в ВМ (например, использование непостоянного образа или виртуальной сети). В основном полномочия типа USE применяются для разделения ресурсов с другими пользователями данной группы или с остальными пользователями;MANAGE
— операции, которые изменяют ресурс, например, остановка виртуальной машины, изменение типа образа (постоянный/непостоянный) или корректировка IP-адреса, закрепленного за ВМ. В основном полномочия типа MANAGE предоставляются пользователям, которые будут управлять ресурсами;ADMIN
— специальные операции, предназначенные для администрирования, например, обновление данных сервера виртуализации или удаление группы пользователей. В основном полномочия типа ADMIN предоставляются пользователям, которые выполняют роль администратора ВМ.
Указанные выше полномочия могут быть применены в отношении следующих ресурсов:
- шаблоны;
- виртуальные машины;
- образы;
- сети.
Управление полномочиями в интерфейсе командной строки
Просмотр установленных полномочий для ресурса
Для просмотра установленных полномочий используется команда show
с указанием идентификатора ресурса.
Пример
Просмотр установленных полномочий шаблона с идентификатором 0:
onetemplate show 0
Пример вывода после выполнения команды:
TEMPLATE 0 INFORMATION
ID : 0
NAME : alse-171
USER : simpleuser
GROUP : another-group
LOCK : None
REGISTER TIME : 07/14 09:41:49
PERMISSIONS
OWNER : um-
GROUP : u--
OTHER : ---
В представленном примере в отношении шаблона 0 владелец simpleuser
имеет полномочия типа USE
и MANAGE
. Пользователи в группе another-group
имеют полномочия типа USE
, а пользователи, которые не являются владельцами или не состоят в группе simpleuser
, не имеют полномочий в отношении данного шаблона.
Изменение установленных полномочий для ресурса
Изменить установленные полномочия можно при помощи команды chmod
с указанием идентификатора ресурса и числового кода полномочий.
В качестве идентификатора ресурса можно указать перечень идентификаторов, разделенных запятыми или диапазон идентификаторов (в качестве разделителя используются две точки — «..»).
В качестве числового кода полномочий используется трехзначное восьмеричное число, где каждый знак из трех соответствует определенной категории пользователей:
- владелец (owner);
- пользователи группы (group);
- остальные пользователи (others).
Каждое восьмеричное число знака определяет полномочия для соответствующей категории пользователей. Полномочия выражаются следующими значениями:
- бит
USE
общее значение увеличивает на 4 (100 в двоичной системе); - бит
MANAGE
общее значение увеличивает на 2 (010 в двоичной системе); - бит
ADMIN
общее значение увеличивает на 1 (001 в двоичной системе).
Примеры
- Исходное состояние, пример вывода после выполнения команды:
onetemplate show 0: ... PERMISSIONS OWNER : um- GROUP : u-- OTHER : ---
CODE - Установка полномочий в отношении шаблона с идентификатором 0:
- владельцу установить биты USE и MANAGE (разрешить применение и управление);
- пользователям группы установить биты USE и MANAGE;
- остальным пользователям установить бит USE.
Для этого необходимо выполнить команду:Просмотр установленных полномочий, пример вывода после выполнения команды:onetemplate chmod 0 664
onetemplate show 0: ... PERMISSIONS OWNER : um- GROUP : um- OTHER : u--
CODE
- Установка полномочий в отношении шаблона с идентификатором 0:
- владельцу установить биты USE и MANAGE (разрешить применение и управление);
- пользователям группы установить бит USE;
- остальным пользователям установить бит USE.
Для этого необходимо выполнить команду:Просмотр установленных полномочий, пример вывода после выполнения команды:onetemplate chmod 0 644
onetemplate show 0: ... PERMISSIONS OWNER : um- GROUP : u-- OTHER : u--
CODE
- Установка полномочий в отношении шаблона с идентификатором 0:
- владельцу установить биты USE и MANAGE (разрешить применение и управление);
- пользователям группы снять все биты (отозвать все полномочия);
- остальным пользователям установить биты USE, MANAGE и ADMIN (разрешить применение, управление и администрирование).
Для этого необходимо выполнить команду:Просмотр установленных полномочий, пример вывода после выполнения команды:onetemplate chmod 0 607
onetemplate show 0: ... PERMISSIONS OWNER : um- GROUP : --- OTHER : uma
CODE
Установка полномочий по умолчанию
Настройка полномочий, устанавливаемых по умолчанию в отношении вновь созданных ресурсов, может выполняться следующим образом:
- в целом для ПК СВ, используя параметр
DEFAULT_UMASK
в конфигурационном файле/etc/one/oned.conf
; - отдельно для каждого пользователя, используя команду
oneuser umask
.
В этом случае для установки полномочий используется трехзначная восьмеричная маска (по аналогии с командой umask
в ОС СН) — каждый установленный бит отменяет соответствующие полномочия для owner
, group
и other
.
В таблице приведены примеры соответствия маски, используемой совместно с командой umask
и числового кода полномочий, используемого совместно с командой chmod
.
маска umask | числовой код chmod | Полномочия |
---|---|---|
177 | 600 | um- --- --- |
137 | 640 | um- u-- --- |
113 | 664 | um- um- u-- |
Управление полномочиями в веб-интерфейсе ПК СВ
Просмотр установленных полномочий
Для просмотра полномочий, установленных для ресурса, необходимо в веб-интерфейсе ПК СВ перейти на вкладку Сведения страницы этого ресурса:
В представленном примере в отношении шаблона 0
владелец simpleuser
имеет полномочия типа USE
и MANAGE
. Пользователи в группе another-group
имеют полномочия типа USE
, а пользователи, которые не являются владельцами или не состоят в группе simpleuser
, не имеют полномочий в отношении данного шаблона.
Для изменения полномочий необходимо на странице ресурса во вкладке Сведения установить/снять соответствующие флаги.
Установка полномочий, присваиваемых по умолчанию пользователю
Настройка полномочий, присваиваемых по умолчанию пользователю в отношении вновь созданных ресурсов, в веб-интерфейсе ПК СВ выполняется следующим образом:
- В меню слева выбрать пункт Система — Пользователи.
- На открывшейся странице Пользователи выбрать необходимого пользователя.
- На открывшейся странице пользователя во вкладке Сведения в секции Атрибуты выполнить следующие действия:
- в левом поле ввести наименование атрибута:
umask
; - в правом поле указать трехзначную восьмеричную маску;
- нажать кнопку +:
- в левом поле ввести наименование атрибута:
Управление полномочиями в отношении экземпляра ВМ
Полномочиями в отношении экземпляра ВМ управляет владелец — администратор ВМ. Администратор ВМ может открыть общий доступ к экземпляру ВМ для других пользователей, разрешить им просматривать и использовать ВМ. Для этого можно воспользоваться командой onevm chmod
или веб-интерфейсом ПК СВ.
Примеры
- Исходное состояние, пример вывода после выполнения команды
onevm show 0 : ... PERMISSIONS OWNER : um- GROUP : u-- OTHER : ---
CODE0
владелец имеет полномочия типаUSE
иMANAGE
. Пользователи в группе, которой принадлежит владелец, имеют полномочия типаUSE
, а пользователи, которые не являются владельцами или не состоят в группе, не имеют полномочий в отношении данного шаблона. - Установка полномочий в отношении экземпляра ВМ с идентификатором 0:
- владельцу установить биты USE и MANAGE (разрешить применение и управление);
- пользователям группы, которой принадлежит владелец, установить биты USE и MANAGE;
- остальным пользователям установить бит USE.
Для этого необходимо выполнить команду:Просмотр установленных полномочий, пример вывода после выполнения команды:onevm chmod 0 664
onevm show 0: ... PERMISSIONS OWNER : um- GROUP : um- OTHER : u--
CODE