Portainer: لا يمكن لمستخدمي LDAP الوصول إلى بيانات نقطة النهاية
وصف الخطأ
مستخدمي LDAP المستوردون (من الدليل النشط) ، لا يمكنهم رؤية الأكوام أو الخدمات أو الحاويات أو وحدات التخزين أو الشبكات. القسم الوحيد الذي يعمل هو الصور. يتم منح المستخدمين الوصول إلى نقطة النهاية مباشرة باستخدام خيار إدارة الوصول. إما منح حق الوصول إلى المستخدم مباشرة أو عبر مجموعة LDAP المستوردة لا يعمل.
سلوك متوقع
يجب أن يكون مستخدمو LDAP المستوردون قادرين على الوصول إلى جميع الموارد التي تعد جزءًا من نقطة النهاية التي منحهم المسؤول الوصول إليها.
خطوات إعادة إظهار المشكلة:
خطوات إعادة إنتاج السلوك:
- نشر Portainer باستخدام معلومات النشر الرسمية (وضع Swarm باستخدام الملحن)
- تكوين مصادقة LDAP (إما ربط بسيط ، TLS أو StartTLS)
- انتقل إلى نقطة النهاية "الأساسية" الافتراضية واستخدام حق الوصول يمنح المستخدم حق الوصول
- تسجيل الدخول في برنامج Portainer مع المستخدم (في القسم الرئيسي ، يمكنه رؤية جميع المعلومات حول نقطة النهاية الأساسية ، وعدد: المداخن ، والخدمات ، والحاويات ، والمجلدات والصور)
- انقر فوق نقطة النهاية الأساسية في الصفحة الرئيسية.
- يمكن للمستخدم أن يرى عدد الصور داخل السرب ، ولكن 0 من أي مورد آخر (أكوام أو حاويات أو وحدات تخزين أو خدمات أو شبكات). لا يوجد خطأ معروض في سجل الحاوية.
تفاصيل تقنية:
- إصدار Portainer: 1.20.2
- إصدار Docker (المُدار بواسطة Portainer): 18.09.03
- المنصة (windows / لينكس): لينكس
- الأمر المستخدم لبدء Portainer (
docker run -p 9000:9000 portainer/portainer): نشر مكدس عامل الإرساء --compose-file = portainer-agent-stack.yml portainer (ملف المؤلف الافتراضي في تعليمات النشر) - المتصفح: Chrome 73.0.3683.86
photonn
ال 3 كومينتر
أهلا،
إذا قمت بتسجيل الدخول كمسؤول ، ونظرت إلى كل صفحة من الصفحات (مكدسات ، خدمات ، حاويات ، مجلدات ، شبكات ، تكوينات ، أسرار) ، ألق نظرة على عمود "الملكية". إذا كان هذا يشير إلى "المسؤولين" ، فلن يتمكن المستخدمون القياسيون من رؤية المورد.
يمكنك رفع مستوى مستخدم LDAP إلى مسؤول (انقر فوق حساب المستخدم الخاص به في Portainer وحدده كمسؤول) ، أو قم بتغيير التحكم في الوصول إلى "عام" حتى يتمكن جميع المستخدمين من رؤية الموارد.
ncresswell
في ٣ أبريل ٢٠١٩
هذا ليس خطأ وهو في الواقع السلوك الطبيعي لتطبيق Portainer.
ستقتصر جميع الموارد التي تم إنشاؤها خارج Portainer على المستخدمين المسؤولين فقط ، وهذه أيضًا هي السياسة الافتراضية عند إنشاء مورد داخل Portainer.
عند استخدام مصادقة LDAP / OAuth ، سيتم تعيين دور المستخدم العادي للمستخدمين الذين تم إنشاؤهم حديثًا عند الإنشاء ، وبالتالي لن يتمكنوا من الوصول إلى أي موارد حالية مقصورة على المسؤولين.
كما ذكر نيل ، ستحتاج إلى تعيين دور المسؤول لكل من هؤلاء المستخدمين.
لدينا طلب تطوير للسماح للمستخدم بتغيير الملكية الافتراضية المتاحة في التطبيق:
https://github.com/portainer/portainer/issues/685
ويمكنك أيضًا توقع نهج أكثر قوة من امتدادنا التالي الذي سيقدم إدارة التحكم في الوصول القائمة على الأدوار المتقدمة.
deviantony
في ٣ أبريل ٢٠١٩
شكرا شباب! كان الأمر محيرًا بعض الشيء بالنسبة لي في البداية ، لكن هذا يفسر كل شيء.
photonn
في ٣ أبريل ٢٠١٩
القضايا ذات الصلة
030
·
3تعليقات
diyfr
·
3تعليقات
itsconquest
·
3تعليقات
WTFKr0
·
4تعليقات
adi90x
·
4تعليقات
التعليق الأكثر فائدة
هذا ليس خطأ وهو في الواقع السلوك الطبيعي لتطبيق Portainer.
ستقتصر جميع الموارد التي تم إنشاؤها خارج Portainer على المستخدمين المسؤولين فقط ، وهذه أيضًا هي السياسة الافتراضية عند إنشاء مورد داخل Portainer.
عند استخدام مصادقة LDAP / OAuth ، سيتم تعيين دور المستخدم العادي للمستخدمين الذين تم إنشاؤهم حديثًا عند الإنشاء ، وبالتالي لن يتمكنوا من الوصول إلى أي موارد حالية مقصورة على المسؤولين.
كما ذكر نيل ، ستحتاج إلى تعيين دور المسؤول لكل من هؤلاء المستخدمين.
لدينا طلب تطوير للسماح للمستخدم بتغيير الملكية الافتراضية المتاحة في التطبيق:
https://github.com/portainer/portainer/issues/685
ويمكنك أيضًا توقع نهج أكثر قوة من امتدادنا التالي الذي سيقدم إدارة التحكم في الوصول القائمة على الأدوار المتقدمة.