В ПК СВ реализован ролевой метод управления доступом, который подразумевает разграничение доступа по следующим ролям пользователей:

  • администратор средства виртуализации;
  • администратор безопасности средства виртуализации; 
  • разработчик виртуальной машины;
  • администратор виртуальной машины.

Назначение ролей и полномочий осуществляется администратором средства виртуализации.

При развертывании службы сервера управления автоматически создается группа администраторов средства виртуализации (brestadmins). Кроме того, при инициализации службы сервера управления в ПК СВ создается первый пользователь группы администраторов средства виртуализации:

  • в сервисном режиме функционирования ПК СВ — пользователь brestadmin;
  • дискреционном режиме функционирования ПК СВ — доменный пользователь, имя которого указывается вручную при инициализации службы сервера управления.

Описание ролей

Роль администратора средства виртуализации позволяет:

  • создавать учетные записи пользователей средства виртуализации;
  • управлять учетными записями пользователей средства виртуализации;
  • назначать права доступа пользователям средства виртуализации к виртуальным машинам;
  • создавать и удалять виртуальное оборудование средства виртуализации;
  • изменять конфигурации виртуального оборудования средства виртуализации;
  • управлять доступом виртуальных машин к физическому и виртуальному оборудованию;
  • управлять квотами доступа виртуальных машин к физическому и виртуальному оборудованию;
  • управлять перемещением виртуальных машин;
  • удалять виртуальные машины;
  • запускать и останавливать виртуальные машины;
  • создавать снимки состояния виртуальных машин, включающих файл конфигурации виртуальной машины, образа виртуальной машины и образа памяти виртуальной машины.

Роль администратора безопасности средства виртуализации позволяет:

  • выполнять чтение журнала событий безопасности средства виртуализации;
  • формировать отчеты с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства виртуализации.

Роль разработчика ВМ позволяет:

  • создавать виртуальные машины;
  • изменять конфигурации виртуальных машин, в том числе управлять шаблонами и образами дисков виртуальных машин.

Роль администратора ВМ позволяет осуществлять доступ пользователя средства виртуализации к виртуальной машине посредством интерфейса средства виртуализации.

Настройка ролевого управления доступом

Назначение ролей и полномочий необходимо выполнять в ОС СН под учетной записью администратора с высоким уровнем целостности.

Для реализации роли администратора средства виртуализации необходимо включить пользователя в следующие группы: brestadmins, brestusers, libvirt-admins и admins.

Для реализации роли администратора безопасности средства виртуализации необходимо включить пользователя в группу astra-audit и исключить из групп libvirtlibvirt-qemu, kvm.

Если для просмотра журнала событий будет использоваться графическая утилита fly-event-viewer ("Журнал системных событий"), то на всех компьютерах для пользователей группы astra-audit необходимо разрешить привилегированный доступ к fly-event-viewer. Для этого в файле /etc/sudoers следует добавить следующую строку:

%astra-audit ALL=(ALL:ALL) /usr/bin/fly-event-viewer
CODE


Для реализации роли администратора ВМ необходимо включить пользователя в группу brestusers.

Для реализации роли разработчика ВМ необходимо выполнить следующие действия:

  1. Для группы, в которую входит пользователь, предоставить полномочия USE в отношении следующих ресурсов виртуализации: хранилища и виртуальные сети.
    Для этого создать соответствующее правило ACL командой:
    oneacl create "@<идентификатор_группы> NET + DATASTORE /* USE"
  2. Пользователю предоставить полномочия CREATE и MANAGE в отношении шаблонов ВМ.
    Для этого создать соответствующее правило ACL командой:
    oneacl create "#<идентификатор_пользователя> TEMPLATE/* CREATE+MANAGE"

Если пользователь совмещает роли разработчика ВМ и администратора ВМ, то необходимо выполнить следующие действия:

  1. Пользователю предоставить полномочия MANAGE в отношении серверов виртуализации.
    Для этого создать соответствующее правило ACL командой:
    oneacl create "#<идентификатор_пользователя> HOST /* MANAGE"
  2. Пользователю предоставить полномочия CREATE в отношении остальных ресурсов виртуализации.
    Для этого создать соответствующее правило ACL командой:
    oneacl create "#<идентификатор_пользователя> VM+IMAGE+TEMPLATE+DOCUMENT+SECGROUP+VROUTER+VMGROUP/* CREATE"