Description du bogue
Les utilisateurs LDAP importés (depuis Aactive Directory) ne peuvent pas voir les piles, les services, les conteneurs, les volumes ou les réseaux. La seule section qui fonctionne est Images. Les utilisateurs ont accès au point de terminaison directement à l'aide de l'option de gestion de l'accès. Donner l'accès à l'utilisateur directement ou via un groupe LDAP importé ne fonctionne pas.
Comportement prévisible
Les utilisateurs LDAP importés doivent pouvoir accéder à toutes les ressources qui font partie du point de terminaison auquel l'administrateur leur a donné accès.
Étapes pour reproduire le problème :
Étapes pour reproduire le comportement :
Détails techniques:
docker run -p 9000:9000 portainer/portainer
): docker stack deploy --compose-file=portainer-agent-stack.yml portainer (fichier composer par défaut sur les instructions de déploiement)Salut,
SI vous vous connectez en tant qu'administrateur et regardez chacune des pages (piles, services, conteneurs, volumes, réseaux, configurations, secrets), jetez un œil à la colonne « propriété ». Si cela dit « administrateurs », les utilisateurs standard ne pourront PAS voir la ressource.
Vous pouvez élever votre utilisateur LDAP au rang d'administrateur (cliquer sur son compte d'utilisateur dans Portainer et le marquer comme administrateur) ou modifier le contrôle d'accès sur « public » afin que tous les utilisateurs puissent voir les ressources.
Ce n'est pas un bogue et c'est en fait le comportement normal de l'application Portainer.
Toutes les ressources créées en dehors de Portainer seront réservées aux utilisateurs administrateurs uniquement, il s'agit également de la politique par défaut lors de la création d'une ressource à l'intérieur de Portainer.
Lors de l'utilisation de l'authentification LDAP/OAuth, les utilisateurs nouvellement créés se verront attribuer le rôle d'utilisateur normal lors de la création et ne pourront donc pas accéder aux ressources existantes réservées aux administrateurs.
Comme Neil l'a déclaré, vous devrez attribuer le rôle d'administrateur à chacun de ces utilisateurs.
Nous avons une demande d'évolution pour permettre à un utilisateur de modifier la propriété par défaut disponible dans l'application :
https://github.com/portainer/portainer/issues/685
Et vous pouvez également vous attendre à une approche plus robuste de notre prochaine extension qui va introduire une gestion avancée du contrôle d'accès basée sur les rôles.
Merci les gars ! C'était un peu déroutant pour moi au début, mais cela explique tout.
Commentaire le plus utile
Ce n'est pas un bogue et c'est en fait le comportement normal de l'application Portainer.
Toutes les ressources créées en dehors de Portainer seront réservées aux utilisateurs administrateurs uniquement, il s'agit également de la politique par défaut lors de la création d'une ressource à l'intérieur de Portainer.
Lors de l'utilisation de l'authentification LDAP/OAuth, les utilisateurs nouvellement créés se verront attribuer le rôle d'utilisateur normal lors de la création et ne pourront donc pas accéder aux ressources existantes réservées aux administrateurs.
Comme Neil l'a déclaré, vous devrez attribuer le rôle d'administrateur à chacun de ces utilisateurs.
Nous avons une demande d'évolution pour permettre à un utilisateur de modifier la propriété par défaut disponible dans l'application :
https://github.com/portainer/portainer/issues/685
Et vous pouvez également vous attendre à une approche plus robuste de notre prochaine extension qui va introduire une gestion avancée du contrôle d'accès basée sur les rôles.