Fehlerbeschreibung
LDAP-importierte Benutzer (aus Aactive Directory) können Stacks, Dienste, Container, Volumes oder Netzwerke nicht sehen. Der einzige Abschnitt, der funktioniert, ist Bilder. Die Benutzer erhalten über die Option "Zugriff verwalten" direkt Zugriff auf den Endpunkt. Entweder den Benutzern direkt oder über eine importierte LDAP-Gruppe Zugriff zu gewähren, funktioniert nicht.
Erwartetes Verhalten
Importierte LDAP-Benutzer sollten auf alle Ressourcen zugreifen können, die Teil des Endpunkts sind, auf den der Administrator ihnen Zugriff gewährt hat.
Schritte zum Reproduzieren des Problems:
Schritte zum Reproduzieren des Verhaltens:
Technische Details:
docker run -p 9000:9000 portainer/portainer
): docker stack deploy --compose-file=portainer-agent-stack.yml portainer (Standard-Composer-Datei in Bereitstellungsanweisungen)Hi,
WENN Sie sich als Admin einloggen und sich jede der Seiten (Stacks, Dienste, Container, Volumes, Netzwerke, Configs, Secrets) ansehen, werfen Sie einen Blick auf die Spalte „Ownership“. Wenn dort „Administratoren“ steht, können Standardbenutzer die Ressource NICHT sehen.
Sie können Ihren LDAP-Benutzer zu einem Admin erheben (klicken Sie auf sein Benutzerkonto in Portainer und markieren Sie ihn als Admin) oder ändern Sie die Zugriffskontrolle auf „öffentlich“, damit alle Benutzer die Ressourcen sehen können.
Dies ist kein Fehler, sondern das normale Verhalten der Portainer-Anwendung.
Alle Ressourcen, die außerhalb von Portainer erstellt werden, sind nur Administratoren vorbehalten. Dies ist auch die Standardrichtlinie beim Erstellen einer Ressource in Portainer.
Bei Verwendung der LDAP/OAuth-Authentifizierung wird neu erstellten Benutzern beim Erstellen die normale Benutzerrolle zugewiesen und können somit nicht auf vorhandene Ressourcen zugreifen, die auf Administratoren beschränkt sind.
Wie Neil sagte, müssen Sie jedem dieser Benutzer die Administratorrolle zuweisen.
Wir haben eine Evolutionsanfrage, um einem Benutzer zu erlauben, die in der App verfügbare Standard-Eigentümerschaft zu ändern:
https://github.com/potainer/potainer/issues/685
Und Sie können auch von unserer nächsten Erweiterung, die ein erweitertes rollenbasiertes Zugriffskontrollmanagement einführen wird, einen robusteren Ansatz erwarten.
Danke Jungs! Für mich war es anfangs etwas verwirrend, aber das erklärt alles.
Hilfreichster Kommentar
Dies ist kein Fehler, sondern das normale Verhalten der Portainer-Anwendung.
Alle Ressourcen, die außerhalb von Portainer erstellt werden, sind nur Administratoren vorbehalten. Dies ist auch die Standardrichtlinie beim Erstellen einer Ressource in Portainer.
Bei Verwendung der LDAP/OAuth-Authentifizierung wird neu erstellten Benutzern beim Erstellen die normale Benutzerrolle zugewiesen und können somit nicht auf vorhandene Ressourcen zugreifen, die auf Administratoren beschränkt sind.
Wie Neil sagte, müssen Sie jedem dieser Benutzer die Administratorrolle zuweisen.
Wir haben eine Evolutionsanfrage, um einem Benutzer zu erlauben, die in der App verfügbare Standard-Eigentümerschaft zu ändern:
https://github.com/potainer/potainer/issues/685
Und Sie können auch von unserer nächsten Erweiterung, die ein erweitertes rollenbasiertes Zugriffskontrollmanagement einführen wird, einen robusteren Ansatz erwarten.