Immer mehr Firmen zieht es in die Cloud und die Nutzung von Public-, Private- und Hybrid-Clouds gehört längst zum Alltag. Im Juli befasst sich ... (mehr)

ManageIQs interne Nutzerverwaltung

ManageIQ bringt ein vollständiges User Management mit. Es lässt sich also dezidiert festlegen, welcher Nutzer welche Funktionen verwenden darf. Das ist praktisch, weil sich die ManageIQ-Account-Verwaltung als zentrale Stelle für Berechtigungen in einem Unternehmen einsetzen lässt. Die Umgebungen, die ManageIQ im Hintergrund verwaltet, brauchen sich um das User-Management also nicht kümmern. Diesen gegenüber tritt ManageIQ als Benutzer-Account auf, der jeweils die Berechtigungen des Administrations-Users hat.

Wie immer in der Unix-Welt gilt, dass die Arbeit als "admin" grundsätzlich keine gute Idee ist. Stattdessen empfiehlt es sich, Benutzerzugänge mit beschränkten Rechten anzulegen und im laufenden Betrieb auf diese zu setzen. Der benötigte Menü-Punkt dafür war bereits Thema: Er ist per Klick auf "Settings / Access Control" zu erreichen – unter dem Button "Configuration" erscheint dann der Eintrag "Add a new user". Sämtliche Felder sind Felder für Freitext, bei denen sich beliebige Werte eintragen lassen – bis auf das letzte: Dort geht es um die Gruppe, zu der ein neuer Nutzer gehört. Die Wahl bei diesem Feld wirkt sich auf die Möglichkeiten des neuen Nutzers aus, denn unterschiedliche Gruppen haben innerhalb von ManageIQ unterschiedliche Berechtigungen.

Berechtigungen über Rollen

ManageIQ bildet über Gruppen ein typisches Rechteschema ab, wie es bei praktisch jedem Unternehmen zu finden ist. Nicht jeder Benutzer darf automatisch alles – vereinfacht dargestellt könnte es etwa eine "Praktikanten"-Gruppe geben, deren Mitglieder grundsätzlich nur lesenden Zugriff auf ManageIQ haben, dessen Konfiguration aber nicht verändern dürfen. Die Gruppe der VM-Administratoren darf im Beispiel virtuelle Systeme innerhalb virtueller Umgebungen steuern, aber keine neuen Nutzer anlegen. Admins wiederum steht die gesamte ManageIQ-Funktionalität zur Verfügung.

ManageIQ arbeitet mit drei unterschiedlichen Ebenen: Nutzer gehören Gruppen an, denen wiederum Rollen zugewiesen sind. Rollen legen letztlich fest, welche Berechtigungen eine Gruppe hat. Die Zuweisung von Rechten an Nutzer geschieht also über den Umweg der Gruppe. Ab Werk kommt ManageIQ mit einer größeren Menge vordefinierter Rollen, deren Berechtigungen festgelegt und durch den Admin auch nicht zu ändern sind. Wer mit eigenen Rollen arbeiten oder die Rechtevergabe verändern will, legt sich stattdessen eigene Rollen an. Der Weg dorthin führt wieder über "Settings / Access Control". Direkt unter dem erwähnten "Users"-Menüpunkt befinden sich die "Groups" und "Roles"-Menüpunkte, die zu den entsprechenden Konfigurationen führen. Gut gelöst ist die Vergabe spezifischer Berechtigungen: Für jede Rolle steht in einem Ausklappmenü auf der rechten Seite, welche Berechtigungen jeweils vergeben sind.

Es würde an dieser Stelle den Rahmen sprengen, die Benutzerverwaltung von ManageIQ bis ins kleinste Detail zu erläutern. Letztlich muss die Art und Weise, wie ManageIQ mit Rechten und Gruppen umgehen soll, ohnehin direkt im Betriebskonzept für eine Plattform vorgegeben sein. Wer ManageIQ also nutzen möchte, macht sich besser frühzeitig über Berechtigungen und Gruppen Gedanken. Im Beispiel genügt es, einen Nutzer anzulegen und ihn der Gruppe "Operator" zuzuschlagen – dann darf er später VMs in virtuellen Umgebungen steuern, aber etwa keine neuen Nutzer erstellen oder die Konfiguration von ManageIQ ändern.

Die ManageIQ-Appliance bietet weitere Konfigurationsmöglichkeiten, die über "Settings / Configuration" und die Auswahl des Hosts in der "Default Zone" zu erreichen sind. Dort lässt sich etwa festlegen, dass die ManageIQ-Instanz auch als Mirror für das Red Hat Network (RHN) fungiert. Wichtig: Für jeden ManageIQ-Instance-Knoten sollte die Funktion "Automation Engine" aktiviert sein, denn sonst klappt das Provisionieren virtueller Systeme später nicht.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019