Portainer: Os usuários LDAP não podem acessar os dados do endpoint
Descrição do bug
Os usuários importados do LDAP (do Aactive Directory) não podem ver pilhas, serviços, contêineres, volumes ou redes. A única seção que funciona é Imagens. Os usuários recebem acesso ao endpoint diretamente usando a opção de gerenciamento de acesso. Dar acesso ao usuário diretamente ou por meio do grupo LDAP importado não funciona.
Comportamento esperado
Os usuários LDAP importados devem ser capazes de acessar todos os recursos que fazem parte do terminal ao qual o administrador concedeu acesso.
Etapas para reproduzir o problema:
Passos para reproduzir o comportamento:
- Implante o portainer usando informações de implantação oficial (modo Swarm usando composer)
- Configure a autenticação LDAP (ligação simples, TLS ou StartTLS)
- Vá para o ponto de extremidade "Primário" padrão e, usando gerenciar o acesso, dê acesso ao usuário
- faça login no portainer com o usuário (na seção inicial ele é capaz de ver todas as informações sobre o endpoint primário, número de: pilhas, serviços, contêineres, volumes e imagens)
- clique no endpoint primário na página inicial.
- O usuário vê pode ver o número de imagens dentro do enxame, mas 0 de qualquer outro recurso (pilhas, contêineres, volumes, serviços ou redes). Nenhum erro é mostrado no log do contêiner.
Detalhes técnicos:
- Versão do Portainer: 1.20.2
- Versão do Docker (gerenciado pelo Portainer): 18.09.03
- Plataforma (windows / linux): linux
- Comando usado para iniciar o Portainer (
docker run -p 9000:9000 portainer/portainer): docker stack deploy --compose-file = portainer-agent-stack.yml portainer (arquivo composer padrão nas instruções de implantação) - Navegador: Chrome 73.0.3683.86
photonn
Todos 3 comentários
Olá,
SE você entrar como administrador e olhar para cada uma das páginas (pilhas, serviços, contêineres, volumes, redes, configurações, segredos), dê uma olhada na coluna “propriedade”. Se disser “administradores”, os usuários padrão NÃO poderão ver o recurso.
Você pode elevar seu usuário LDAP a um administrador (clique em sua conta de usuário no Portainer e marque-o como administrador) ou altere o controle de acesso para “público” para que todos os usuários possam ver os recursos.
ncresswell
em 3 abr. 2019
Isso não é um bug e, na verdade, é o comportamento normal do aplicativo Portainer.
Todos os recursos criados fora do Portainer serão restritos apenas aos usuários administradores, esta também é a política padrão ao criar um recurso dentro do Portainer.
Ao usar a autenticação LDAP / OAuth, os usuários recém-criados receberão a função de usuário regular na criação e, portanto, não poderão acessar nenhum recurso existente restrito a administradores.
Como Neil afirmou, você precisará atribuir a função de administrador a cada um desses usuários.
Temos uma solicitação de evolução para permitir que um usuário altere a propriedade padrão disponível no aplicativo:
https://github.com/portainer/portainer/issues/685
E você também pode esperar uma abordagem mais robusta de nossa próxima extensão, que apresentará o gerenciamento de controle de acesso baseado em funções avançadas.
deviantony
em 3 abr. 2019
Obrigado pessoal! Foi um pouco confuso para mim no início, mas isso explica tudo.
photonn
em 3 abr. 2019
Questões relacionadas
WTFKr0
·
4Comentários
chrisvanderpennen
·
3Comentários
aprcloud
·
3Comentários
ChexWarrior
·
3Comentários
itsconquest
·
3Comentários
Comentários muito úteis
Isso não é um bug e, na verdade, é o comportamento normal do aplicativo Portainer.
Todos os recursos criados fora do Portainer serão restritos apenas aos usuários administradores, esta também é a política padrão ao criar um recurso dentro do Portainer.
Ao usar a autenticação LDAP / OAuth, os usuários recém-criados receberão a função de usuário regular na criação e, portanto, não poderão acessar nenhum recurso existente restrito a administradores.
Como Neil afirmou, você precisará atribuir a função de administrador a cada um desses usuários.
Temos uma solicitação de evolução para permitir que um usuário altere a propriedade padrão disponível no aplicativo:
https://github.com/portainer/portainer/issues/685
E você também pode esperar uma abordagem mais robusta de nossa próxima extensão, que apresentará o gerenciamento de controle de acesso baseado em funções avançadas.