Portainer: Les utilisateurs LDAP ne peuvent pas accéder aux données du point de terminaison

Créé le 2 avr. 2019  ·  3Commentaires  ·  Source: portainer/portainer

Description du bogue

Les utilisateurs LDAP importés (depuis Aactive Directory) ne peuvent pas voir les piles, les services, les conteneurs, les volumes ou les réseaux. La seule section qui fonctionne est Images. Les utilisateurs ont accès au point de terminaison directement à l'aide de l'option de gestion de l'accès. Donner l'accès à l'utilisateur directement ou via un groupe LDAP importé ne fonctionne pas.

Comportement prévisible
Les utilisateurs LDAP importés doivent pouvoir accéder à toutes les ressources qui font partie du point de terminaison auquel l'administrateur leur a donné accès.

Étapes pour reproduire le problème :

Étapes pour reproduire le comportement :

  1. Déployer portainer à l'aide des informations de déploiement officielles (mode Swarm à l'aide de composer)
  2. Configurer l'authentification LDAP (soit simple liaison, TLS ou StartTLS)
  3. Accédez au point de terminaison « principal » par défaut et en utilisant la gestion de l'accès, donnez l'accès à l'utilisateur
  4. se connecter en portainer avec l'utilisateur (dans la section d'accueil, il peut voir toutes les informations sur le point de terminaison principal, le nombre de : piles, services, conteneurs, volumes et images)
  5. cliquez sur le point de terminaison principal sur la page d'accueil.
  6. L'utilisateur voit peut voir le nombre d'images à l'intérieur de swarm, mais 0 de toute autre ressource (piles, conteneurs, volumes, services ou réseaux). Aucune erreur affichée dans le journal du conteneur.

Détails techniques:

  • Version Portainer : 1.20.2
  • Version Docker (gérée par Portainer) : 18.09.03
  • Plateforme (windows/linux) : linux
  • Commande utilisée pour démarrer Portainer ( docker run -p 9000:9000 portainer/portainer ): docker stack deploy --compose-file=portainer-agent-stack.yml portainer (fichier composer par défaut sur les instructions de déploiement)
  • Navigateur : Chrome 73.0.3683.86
    Captura1
    Captura2
    Captura3
    Captura4
    Captura5
picture photonn

Commentaire le plus utile

Ce n'est pas un bogue et c'est en fait le comportement normal de l'application Portainer.

Toutes les ressources créées en dehors de Portainer seront réservées aux utilisateurs administrateurs uniquement, il s'agit également de la politique par défaut lors de la création d'une ressource à l'intérieur de Portainer.

Lors de l'utilisation de l'authentification LDAP/OAuth, les utilisateurs nouvellement créés se verront attribuer le rôle d'utilisateur normal lors de la création et ne pourront donc pas accéder aux ressources existantes réservées aux administrateurs.

Comme Neil l'a déclaré, vous devrez attribuer le rôle d'administrateur à chacun de ces utilisateurs.

Nous avons une demande d'évolution pour permettre à un utilisateur de modifier la propriété par défaut disponible dans l'application :

https://github.com/portainer/portainer/issues/685

Et vous pouvez également vous attendre à une approche plus robuste de notre prochaine extension qui va introduire une gestion avancée du contrôle d'accès basée sur les rôles.

picture deviantony le 3 avr. 2019
👍2

Tous les 3 commentaires

Salut,

SI vous vous connectez en tant qu'administrateur et regardez chacune des pages (piles, services, conteneurs, volumes, réseaux, configurations, secrets), jetez un œil à la colonne « propriété ». Si cela dit « administrateurs », les utilisateurs standard ne pourront PAS voir la ressource.

Vous pouvez élever votre utilisateur LDAP au rang d'administrateur (cliquer sur son compte d'utilisateur dans Portainer et le marquer comme administrateur) ou modifier le contrôle d'accès sur « public » afin que tous les utilisateurs puissent voir les ressources.

ncresswell picture ncresswell le 3 avr. 2019
👍1

Ce n'est pas un bogue et c'est en fait le comportement normal de l'application Portainer.

Toutes les ressources créées en dehors de Portainer seront réservées aux utilisateurs administrateurs uniquement, il s'agit également de la politique par défaut lors de la création d'une ressource à l'intérieur de Portainer.

Lors de l'utilisation de l'authentification LDAP/OAuth, les utilisateurs nouvellement créés se verront attribuer le rôle d'utilisateur normal lors de la création et ne pourront donc pas accéder aux ressources existantes réservées aux administrateurs.

Comme Neil l'a déclaré, vous devrez attribuer le rôle d'administrateur à chacun de ces utilisateurs.

Nous avons une demande d'évolution pour permettre à un utilisateur de modifier la propriété par défaut disponible dans l'application :

https://github.com/portainer/portainer/issues/685

Et vous pouvez également vous attendre à une approche plus robuste de notre prochaine extension qui va introduire une gestion avancée du contrôle d'accès basée sur les rôles.

deviantony picture deviantony le 3 avr. 2019
👍2

Merci les gars ! C'était un peu déroutant pour moi au début, mais cela explique tout.

photonn picture photonn le 3 avr. 2019
Cette page vous a été utile?
0 / 5 - 0 notes

Questions connexes

yexingqi picture yexingqi  ·  3Commentaires
cbrherms picture cbrherms  ·  3Commentaires
FabianTe picture FabianTe  ·  3Commentaires
aprcloud picture aprcloud  ·  3Commentaires
030 picture 030  ·  3Commentaires