Portainer: Los usuarios de LDAP no pueden acceder a los datos de los terminales
Descripción del error
Los usuarios importados de LDAP (de Aactive Directory) no pueden ver pilas, servicios, contenedores, volúmenes ni redes. La única sección que funciona es Imágenes. Los usuarios tienen acceso al punto final directamente usando la opción de administración de acceso. Dar acceso al usuario directamente o mediante un grupo LDAP importado no funciona.
Comportamiento esperado
Los usuarios de LDAP importados deben poder acceder a todos los recursos que forman parte del punto final al que el administrador les dio acceso.
Pasos para reproducir el problema:
Pasos para reproducir el comportamiento:
- Implementar portainer usando la información de implementación oficial (modo Swarm usando el compositor)
- Configurar la autenticación LDAP (enlace simple, TLS o StartTLS)
- Vaya al punto de conexión "principal" predeterminado y, mediante la administración del acceso, otorgue acceso al usuario
- inicie sesión en portainer con el usuario (en la sección de inicio, puede ver toda la información sobre el punto final primario, número de: pilas, servicios, contenedores, volúmenes e imágenes)
- haga clic en el punto final primario en la página de inicio.
- El usuario puede ver la cantidad de imágenes dentro del enjambre, pero 0 de cualquier otro recurso (pilas, contenedores, volúmenes, servicios o redes). No se muestra ningún error en el registro del contenedor.
Detalles técnicos:
- Versión Portainer: 1.20.2
- Versión de Docker (administrada por Portainer): 18.09.03
- Plataforma (windows / linux): linux
- Comando utilizado para iniciar Portainer (
docker run -p 9000:9000 portainer/portainer): docker stack deploy --compose-file = portainer-agent-stack.yml portainer (archivo de compositor predeterminado en las instrucciones de implementación) - Navegador: Chrome 73.0.3683.86
photonn
Todos 3 comentarios
Hola,
SI inicia sesión como administrador y mira cada una de las páginas (pilas, servicios, contenedores, volúmenes, redes, configuraciones, secretos), eche un vistazo a la columna "propiedad". Si dice "administradores", los usuarios estándar NO podrán ver el recurso.
Puede elevar su usuario LDAP a administrador (haga clic en su cuenta de usuario en Portainer y márquelo como administrador), o cambie el control de acceso a "público" para que todos los usuarios puedan ver los recursos.
ncresswell
en 3 abr. 2019
Esto no es un error y en realidad es el comportamiento normal de la aplicación Portainer.
Todos los recursos creados fuera de Portainer estarán restringidos solo a usuarios administradores, esta es también la política predeterminada al crear un recurso dentro de Portainer.
Al utilizar la autenticación LDAP / OAuth, a los usuarios recién creados se les asignará el rol de usuario normal en la creación y, por lo tanto, no podrán acceder a los recursos existentes que estén restringidos a los administradores.
Como dijo Neil, deberá asignar el rol de administrador a cada uno de estos usuarios.
Tenemos una solicitud de evolución para permitir que un usuario cambie la propiedad predeterminada disponible en la aplicación:
https://github.com/portainer/portainer/issues/685
Y también puede esperar un enfoque más sólido de nuestra próxima extensión que introducirá una gestión avanzada de control de acceso basada en roles.
deviantony
en 3 abr. 2019
¡Gracias chicos! Al principio me resultó un poco confuso, pero esto lo explica todo.
photonn
en 3 abr. 2019
Temas relacionados
rnz
·
3Comentarios
youlu-cn
·
3Comentarios
030
·
3Comentarios
himred
·
3Comentarios
FabianTe
·
3Comentarios
Comentario más útil
Esto no es un error y en realidad es el comportamiento normal de la aplicación Portainer.
Todos los recursos creados fuera de Portainer estarán restringidos solo a usuarios administradores, esta es también la política predeterminada al crear un recurso dentro de Portainer.
Al utilizar la autenticación LDAP / OAuth, a los usuarios recién creados se les asignará el rol de usuario normal en la creación y, por lo tanto, no podrán acceder a los recursos existentes que estén restringidos a los administradores.
Como dijo Neil, deberá asignar el rol de administrador a cada uno de estos usuarios.
Tenemos una solicitud de evolución para permitir que un usuario cambie la propiedad predeterminada disponible en la aplicación:
https://github.com/portainer/portainer/issues/685
Y también puede esperar un enfoque más sólido de nuestra próxima extensión que introducirá una gestión avanzada de control de acceso basada en roles.