Descripción del error
Los usuarios importados de LDAP (de Aactive Directory) no pueden ver pilas, servicios, contenedores, volúmenes ni redes. La única sección que funciona es Imágenes. Los usuarios tienen acceso al punto final directamente usando la opción de administración de acceso. Dar acceso al usuario directamente o mediante un grupo LDAP importado no funciona.
Comportamiento esperado
Los usuarios de LDAP importados deben poder acceder a todos los recursos que forman parte del punto final al que el administrador les dio acceso.
Pasos para reproducir el problema:
Pasos para reproducir el comportamiento:
Detalles técnicos:
docker run -p 9000:9000 portainer/portainer
): docker stack deploy --compose-file = portainer-agent-stack.yml portainer (archivo de compositor predeterminado en las instrucciones de implementación)Hola,
SI inicia sesión como administrador y mira cada una de las páginas (pilas, servicios, contenedores, volúmenes, redes, configuraciones, secretos), eche un vistazo a la columna "propiedad". Si dice "administradores", los usuarios estándar NO podrán ver el recurso.
Puede elevar su usuario LDAP a administrador (haga clic en su cuenta de usuario en Portainer y márquelo como administrador), o cambie el control de acceso a "público" para que todos los usuarios puedan ver los recursos.
Esto no es un error y en realidad es el comportamiento normal de la aplicación Portainer.
Todos los recursos creados fuera de Portainer estarán restringidos solo a usuarios administradores, esta es también la política predeterminada al crear un recurso dentro de Portainer.
Al utilizar la autenticación LDAP / OAuth, a los usuarios recién creados se les asignará el rol de usuario normal en la creación y, por lo tanto, no podrán acceder a los recursos existentes que estén restringidos a los administradores.
Como dijo Neil, deberá asignar el rol de administrador a cada uno de estos usuarios.
Tenemos una solicitud de evolución para permitir que un usuario cambie la propiedad predeterminada disponible en la aplicación:
https://github.com/portainer/portainer/issues/685
Y también puede esperar un enfoque más sólido de nuestra próxima extensión que introducirá una gestión avanzada de control de acceso basada en roles.
¡Gracias chicos! Al principio me resultó un poco confuso, pero esto lo explica todo.
Comentario más útil
Esto no es un error y en realidad es el comportamiento normal de la aplicación Portainer.
Todos los recursos creados fuera de Portainer estarán restringidos solo a usuarios administradores, esta es también la política predeterminada al crear un recurso dentro de Portainer.
Al utilizar la autenticación LDAP / OAuth, a los usuarios recién creados se les asignará el rol de usuario normal en la creación y, por lo tanto, no podrán acceder a los recursos existentes que estén restringidos a los administradores.
Como dijo Neil, deberá asignar el rol de administrador a cada uno de estos usuarios.
Tenemos una solicitud de evolución para permitir que un usuario cambie la propiedad predeterminada disponible en la aplicación:
https://github.com/portainer/portainer/issues/685
Y también puede esperar un enfoque más sólido de nuestra próxima extensión que introducirá una gestión avanzada de control de acceso basada en roles.