Descrição do bug
Os usuários importados do LDAP (do Aactive Directory) não podem ver pilhas, serviços, contêineres, volumes ou redes. A única seção que funciona é Imagens. Os usuários recebem acesso ao endpoint diretamente usando a opção de gerenciamento de acesso. Dar acesso ao usuário diretamente ou por meio do grupo LDAP importado não funciona.
Comportamento esperado
Os usuários LDAP importados devem ser capazes de acessar todos os recursos que fazem parte do terminal ao qual o administrador concedeu acesso.
Etapas para reproduzir o problema:
Passos para reproduzir o comportamento:
Detalhes técnicos:
docker run -p 9000:9000 portainer/portainer
): docker stack deploy --compose-file = portainer-agent-stack.yml portainer (arquivo composer padrão nas instruções de implantação)Olá,
SE você entrar como administrador e olhar para cada uma das páginas (pilhas, serviços, contêineres, volumes, redes, configurações, segredos), dê uma olhada na coluna “propriedade”. Se disser “administradores”, os usuários padrão NÃO poderão ver o recurso.
Você pode elevar seu usuário LDAP a um administrador (clique em sua conta de usuário no Portainer e marque-o como administrador) ou altere o controle de acesso para “público” para que todos os usuários possam ver os recursos.
Isso não é um bug e, na verdade, é o comportamento normal do aplicativo Portainer.
Todos os recursos criados fora do Portainer serão restritos apenas aos usuários administradores, esta também é a política padrão ao criar um recurso dentro do Portainer.
Ao usar a autenticação LDAP / OAuth, os usuários recém-criados receberão a função de usuário regular na criação e, portanto, não poderão acessar nenhum recurso existente restrito a administradores.
Como Neil afirmou, você precisará atribuir a função de administrador a cada um desses usuários.
Temos uma solicitação de evolução para permitir que um usuário altere a propriedade padrão disponível no aplicativo:
https://github.com/portainer/portainer/issues/685
E você também pode esperar uma abordagem mais robusta de nossa próxima extensão, que apresentará o gerenciamento de controle de acesso baseado em funções avançadas.
Obrigado pessoal! Foi um pouco confuso para mim no início, mas isso explica tudo.
Comentários muito úteis
Isso não é um bug e, na verdade, é o comportamento normal do aplicativo Portainer.
Todos os recursos criados fora do Portainer serão restritos apenas aos usuários administradores, esta também é a política padrão ao criar um recurso dentro do Portainer.
Ao usar a autenticação LDAP / OAuth, os usuários recém-criados receberão a função de usuário regular na criação e, portanto, não poderão acessar nenhum recurso existente restrito a administradores.
Como Neil afirmou, você precisará atribuir a função de administrador a cada um desses usuários.
Temos uma solicitação de evolução para permitir que um usuário altere a propriedade padrão disponível no aplicativo:
https://github.com/portainer/portainer/issues/685
E você também pode esperar uma abordagem mais robusta de nossa próxima extensão, que apresentará o gerenciamento de controle de acesso baseado em funções avançadas.