Download PDF
Download page Ролевой метод управления доступом.
Ролевой метод управления доступом
В ПК СВ реализован ролевой метод управления доступом, который подразумевает разграничение доступа по следующим ролям пользователей:
- администратор средства виртуализации;
- администратор безопасности средства виртуализации;
- разработчик виртуальной машины;
- администратор виртуальной машины.
Назначение ролей и полномочий осуществляется администратором средства виртуализации.
При развертывании службы сервера управления автоматически создается группа администраторов средства виртуализации (brestadmins
). Кроме того, при инициализации службы сервера управления в ПК СВ создается первый пользователь группы администраторов средства виртуализации:
- в сервисном режиме функционирования ПК СВ — пользователь
brestadmin
; - дискреционном режиме функционирования ПК СВ — доменный пользователь, имя которого указывается вручную при инициализации службы сервера управления.
Описание ролей
Роль администратора средства виртуализации позволяет:
- создавать учетные записи пользователей средства виртуализации;
- управлять учетными записями пользователей средства виртуализации;
- назначать права доступа пользователям средства виртуализации к виртуальным машинам;
- создавать и удалять виртуальное оборудование средства виртуализации;
- изменять конфигурации виртуального оборудования средства виртуализации;
- управлять доступом виртуальных машин к физическому и виртуальному оборудованию;
- управлять квотами доступа виртуальных машин к физическому и виртуальному оборудованию;
- управлять перемещением виртуальных машин;
- удалять виртуальные машины;
- запускать и останавливать виртуальные машины;
- создавать снимки состояния виртуальных машин, включающих файл конфигурации виртуальной машины, образа виртуальной машины и образа памяти виртуальной машины.
Роль администратора безопасности средства виртуализации позволяет:
- выполнять чтение журнала событий безопасности средства виртуализации;
- формировать отчеты с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства виртуализации.
Роль разработчика ВМ позволяет:
- создавать виртуальные машины;
- изменять конфигурации виртуальных машин, в том числе управлять шаблонами и образами дисков виртуальных машин.
Роль администратора ВМ позволяет осуществлять доступ пользователя средства виртуализации к виртуальной машине посредством интерфейса средства виртуализации.
Настройка ролевого управления доступом
Назначение ролей и полномочий необходимо выполнять в ОС СН под учетной записью администратора с высоким уровнем целостности.
Для реализации роли администратора средства виртуализации необходимо включить пользователя в следующие группы: brestadmins
, brestusers
, libvirt-admins
и admins
.
Для реализации роли администратора безопасности средства виртуализации необходимо включить пользователя в группу astra-audit
и исключить из групп libvirt
, libvirt-qemu
, kvm
.
Если для просмотра журнала событий будет использоваться графическая утилита fly-event-viewer
("Журнал системных событий"), то на всех компьютерах для пользователей группы astra-audit
необходимо разрешить привилегированный доступ к fly-event-viewer
. Для этого в файле /etc/sudoers следует добавить следующую строку:
%astra-audit ALL=(ALL:ALL) /usr/bin/fly-event-viewer
Для реализации роли администратора ВМ необходимо включить пользователя в группу brestusers
.
Для реализации роли разработчика ВМ необходимо выполнить следующие действия:
- Для группы, в которую входит пользователь, предоставить полномочия
USE
в отношении следующих ресурсов виртуализации: хранилища и виртуальные сети.
Для этого создать соответствующее правило ACL командой:oneacl create "@<идентификатор_группы> NET + DATASTORE /* USE" - Пользователю предоставить полномочия
CREATE
иMANAGE
в отношении шаблонов ВМ.
Для этого создать соответствующее правило ACL командой:oneacl create "#<идентификатор_пользователя> TEMPLATE/* CREATE+MANAGE"
Если пользователь совмещает роли разработчика ВМ и администратора ВМ, то необходимо выполнить следующие действия:
- Пользователю предоставить полномочия
MANAGE
в отношении серверов виртуализации.
Для этого создать соответствующее правило ACL командой:oneacl create "#<идентификатор_пользователя> HOST /* MANAGE" - Пользователю предоставить полномочия
CREATE
в отношении остальных ресурсов виртуализации.
Для этого создать соответствующее правило ACL командой:oneacl create "#<идентификатор_пользователя> VM+IMAGE+TEMPLATE+DOCUMENT+SECGROUP+VROUTER+VMGROUP/* CREATE"