Portainer: Pengguna LDAP tidak dapat mengakses data titik akhir
Deskripsi bug
Pengguna yang diimpor LDAP (dari Aactive Directory), tidak dapat melihat Tumpukan, Layanan, Penampung, Volume, atau Jaringan. Satu-satunya bagian yang berfungsi adalah Gambar. Pengguna diberikan akses ke titik akhir secara langsung menggunakan opsi kelola akses. Memberi akses ke pengguna secara langsung atau melalui grup LDAP yang diimpor tidak berfungsi.
Perilaku yang diharapkan
Pengguna LDAP yang diimpor harus dapat mengakses semua sumber daya yang merupakan bagian dari titik akhir yang diberikan administrator kepada mereka.
Langkah-langkah untuk mereproduksi masalah:
Langkah-langkah untuk mereproduksi perilaku:
- Deploy portainer menggunakan info penerapan resmi (mode Swarm menggunakan komposer)
- Konfigurasikan otentikasi LDAP (baik ikatan sederhana, TLS atau StartTLS)
- Pergi ke titik akhir "Utama" default dan menggunakan akses kelola memberikan akses ke pengguna
- login di portainer dengan pengguna (di bagian beranda ia dapat melihat semua info tentang titik akhir utama, jumlah: tumpukan, layanan, wadah, volume, dan gambar)
- klik pada titik akhir utama di halaman beranda.
- Pengguna dapat melihat jumlah gambar di dalam swarm, tetapi 0 dari sumber daya lainnya (tumpukan, wadah, volume, layanan, atau jaringan). Tidak ada kesalahan yang ditampilkan di log penampung.
Detail teknis:
- Versi porttainer: 1.20.2
- Versi Docker (dikelola oleh Portainer): 18.09.03
- Platform (windows/linux): linux
- Perintah yang digunakan untuk memulai Portainer (
docker run -p 9000:9000 portainer/portainer): docker stack deploy --compose-file=portainer-agent-stack.yml portainer (file komposer default pada instruksi penerapan) - Peramban: Chrome 73.0.3683.86
photonn
Semua 3 komentar
Hai, yang di sana,
JIKA Anda login sebagai admin, dan melihat setiap halaman (tumpukan, layanan, wadah, volume, jaringan, konfigurasi, rahasia), lihat kolom "kepemilikan". Jika itu mengatakan "administrator" maka pengguna standar TIDAK akan dapat melihat sumber daya.
Anda dapat meningkatkan pengguna LDAP Anda menjadi admin (klik akun pengguna mereka di Portainer dan tandai mereka sebagai admin), atau ubah kontrol akses menjadi "publik" sehingga semua pengguna dapat melihat sumber daya.
ncresswell
pada 3 Apr 2019
Ini bukan bug dan sebenarnya ini adalah perilaku normal dari aplikasi Portainer.
Semua sumber daya yang dibuat di luar Portainer akan dibatasi hanya untuk pengguna administrator, ini juga merupakan kebijakan default saat membuat sumber daya di dalam Portainer.
Saat menggunakan autentikasi LDAP/OAuth, pengguna yang baru dibuat akan diberi peran pengguna reguler pada pembuatan dan dengan demikian tidak akan dapat mengakses sumber daya yang ada yang dibatasi untuk administrator.
Seperti yang dinyatakan Neil, Anda harus menetapkan peran administrator untuk masing-masing pengguna ini.
Kami memiliki permintaan evolusi untuk mengizinkan pengguna mengubah kepemilikan default yang tersedia di aplikasi:
https://github.com/portainer/portainer/issues/685
Dan Anda juga dapat mengharapkan pendekatan yang lebih kuat dari ekstensi kami berikutnya yang akan memperkenalkan manajemen kontrol akses berbasis peran tingkat lanjut.
deviantony
pada 3 Apr 2019
Terima kasih! Awalnya agak membingungkan bagi saya, tetapi ini menjelaskan semuanya.
photonn
pada 3 Apr 2019
Masalah terkait
adi90x
·
4Komentar
cbrherms
·
3Komentar
Helmi
·
3Komentar
linquize
·
3Komentar
rnz
·
3Komentar
Komentar yang paling membantu
Ini bukan bug dan sebenarnya ini adalah perilaku normal dari aplikasi Portainer.
Semua sumber daya yang dibuat di luar Portainer akan dibatasi hanya untuk pengguna administrator, ini juga merupakan kebijakan default saat membuat sumber daya di dalam Portainer.
Saat menggunakan autentikasi LDAP/OAuth, pengguna yang baru dibuat akan diberi peran pengguna reguler pada pembuatan dan dengan demikian tidak akan dapat mengakses sumber daya yang ada yang dibatasi untuk administrator.
Seperti yang dinyatakan Neil, Anda harus menetapkan peran administrator untuk masing-masing pengguna ini.
Kami memiliki permintaan evolusi untuk mengizinkan pengguna mengubah kepemilikan default yang tersedia di aplikasi:
https://github.com/portainer/portainer/issues/685
Dan Anda juga dapat mengharapkan pendekatan yang lebih kuat dari ekstensi kami berikutnya yang akan memperkenalkan manajemen kontrol akses berbasis peran tingkat lanjut.