Portainer: LDAP-Benutzer können nicht auf Endpunktdaten zugreifen
Fehlerbeschreibung
LDAP-importierte Benutzer (aus Aactive Directory) können Stacks, Dienste, Container, Volumes oder Netzwerke nicht sehen. Der einzige Abschnitt, der funktioniert, ist Bilder. Die Benutzer erhalten über die Option "Zugriff verwalten" direkt Zugriff auf den Endpunkt. Entweder den Benutzern direkt oder über eine importierte LDAP-Gruppe Zugriff zu gewähren, funktioniert nicht.
Erwartetes Verhalten
Importierte LDAP-Benutzer sollten auf alle Ressourcen zugreifen können, die Teil des Endpunkts sind, auf den der Administrator ihnen Zugriff gewährt hat.
Schritte zum Reproduzieren des Problems:
Schritte zum Reproduzieren des Verhaltens:
- Bereitstellen von Portainer mit offiziellen Bereitstellungsinformationen (Schwarmmodus mit Composer)
- Konfigurieren Sie die LDAP-Authentifizierung (entweder Simple Bind, TLS oder StartTLS)
- Gehen Sie zum standardmäßigen "Primär"-Endpunkt und geben Sie dem Benutzer über den Verwaltungszugriff Zugriff.
- mit dem Benutzer in porttainer einloggen (im Home-Bereich kann er alle Informationen über den primären Endpunkt sehen, Anzahl von: Stacks, Services, Containern, Volumes und Images)
- Klicken Sie auf der Startseite auf den primären Endpunkt.
- Der Benutzer kann die Anzahl der Bilder im Schwarm sehen, aber 0 von jeder anderen Ressource (Stacks, Container, Volumes, Dienste oder Netzwerke). Im Containerprotokoll wird kein Fehler angezeigt.
Technische Details:
- Portainer-Version: 1.20.2
- Docker-Version (verwaltet von Portainer): 18.09.03
- Plattform (Windows/Linux): Linux
- Befehl zum Starten von Portainer (
docker run -p 9000:9000 portainer/portainer): docker stack deploy --compose-file=portainer-agent-stack.yml portainer (Standard-Composer-Datei in Bereitstellungsanweisungen) - Browser: Chrome 73.0.3683.86
photonn
Alle 3 Kommentare
Hi,
WENN Sie sich als Admin einloggen und sich jede der Seiten (Stacks, Dienste, Container, Volumes, Netzwerke, Configs, Secrets) ansehen, werfen Sie einen Blick auf die Spalte „Ownership“. Wenn dort „Administratoren“ steht, können Standardbenutzer die Ressource NICHT sehen.
Sie können Ihren LDAP-Benutzer zu einem Admin erheben (klicken Sie auf sein Benutzerkonto in Portainer und markieren Sie ihn als Admin) oder ändern Sie die Zugriffskontrolle auf „öffentlich“, damit alle Benutzer die Ressourcen sehen können.
ncresswell
am 3. Apr. 2019
Dies ist kein Fehler, sondern das normale Verhalten der Portainer-Anwendung.
Alle Ressourcen, die außerhalb von Portainer erstellt werden, sind nur Administratoren vorbehalten. Dies ist auch die Standardrichtlinie beim Erstellen einer Ressource in Portainer.
Bei Verwendung der LDAP/OAuth-Authentifizierung wird neu erstellten Benutzern beim Erstellen die normale Benutzerrolle zugewiesen und können somit nicht auf vorhandene Ressourcen zugreifen, die auf Administratoren beschränkt sind.
Wie Neil sagte, müssen Sie jedem dieser Benutzer die Administratorrolle zuweisen.
Wir haben eine Evolutionsanfrage, um einem Benutzer zu erlauben, die in der App verfügbare Standard-Eigentümerschaft zu ändern:
https://github.com/potainer/potainer/issues/685
Und Sie können auch von unserer nächsten Erweiterung, die ein erweitertes rollenbasiertes Zugriffskontrollmanagement einführen wird, einen robusteren Ansatz erwarten.
deviantony
am 3. Apr. 2019
Danke Jungs! Für mich war es anfangs etwas verwirrend, aber das erklärt alles.
photonn
am 3. Apr. 2019
Verwandte Themen
diyfr
·
3Kommentare
FabianTe
·
3Kommentare
Helmi
·
3Kommentare
neilqin
·
3Kommentare
030
·
3Kommentare
Hilfreichster Kommentar
Dies ist kein Fehler, sondern das normale Verhalten der Portainer-Anwendung.
Alle Ressourcen, die außerhalb von Portainer erstellt werden, sind nur Administratoren vorbehalten. Dies ist auch die Standardrichtlinie beim Erstellen einer Ressource in Portainer.
Bei Verwendung der LDAP/OAuth-Authentifizierung wird neu erstellten Benutzern beim Erstellen die normale Benutzerrolle zugewiesen und können somit nicht auf vorhandene Ressourcen zugreifen, die auf Administratoren beschränkt sind.
Wie Neil sagte, müssen Sie jedem dieser Benutzer die Administratorrolle zuweisen.
Wir haben eine Evolutionsanfrage, um einem Benutzer zu erlauben, die in der App verfügbare Standard-Eigentümerschaft zu ändern:
https://github.com/potainer/potainer/issues/685
Und Sie können auch von unserer nächsten Erweiterung, die ein erweitertes rollenbasiertes Zugriffskontrollmanagement einführen wird, einen robusteren Ansatz erwarten.