Portainer: Пользователи LDAP не могут получить доступ к данным конечной точки

Созданный на 2 апр. 2019 · 3Комментарии · Источник: portainer/portainer

Описание ошибки

Пользователи, импортированные LDAP (из Aactive Directory), не могут видеть стеки, службы, контейнеры, тома или сети. Единственный работающий раздел - изображения. Пользователям предоставляется доступ к конечной точке напрямую с помощью опции управления доступом. Не работает предоставление доступа пользователю напрямую или через импортированную группу LDAP.

Ожидаемое поведение
Импортированные пользователи LDAP должны иметь доступ ко всем ресурсам, которые являются частью конечной точки, к которой администратор предоставил им доступ.

Действия по воспроизведению проблемы:

Шаги по воспроизведению поведения:

Разверните portainer с использованием официальной информации о развертывании (режим Swarm с использованием композитора)
Настроить аутентификацию LDAP (простая привязка, TLS или StartTLS)
Перейдите к "Основной" конечной точке по умолчанию и с помощью функции управления доступом предоставьте доступ пользователю.
войдите в портейнер с пользователем (в домашнем разделе он может видеть всю информацию о первичной конечной точке, количестве: стеков, сервисов, контейнеров, томов и образов)
щелкните основную конечную точку на домашней странице.
Пользователь может видеть количество изображений внутри роя, но 0 любого другого ресурса (стеки, контейнеры, тома, службы или сети). В журнале контейнера нет ошибок.

Технические подробности:

Версия Portainer: 1.20.2
Версия Docker (управляемая Portainer): 18.09.03
Платформа (windows / linux): linux
Команда, используемая для запуска Portainer ( docker run -p 9000:9000 portainer/portainer ): docker stack deploy --compose-file = portainer-agent-stack.yml portainer (файл композитора по умолчанию в инструкциях по развертыванию)
Браузер: Chrome 73.0.3683.86

Источник

photonn

Самый полезный комментарий

Это не ошибка, и это нормальное поведение приложения Portainer.

Все ресурсы, созданные вне Portainer, будут доступны только администраторам, это также политика по умолчанию при создании ресурса внутри Portainer.

При использовании аутентификации LDAP / OAuth вновь созданным пользователям будет назначена роль обычного пользователя при создании, и они не смогут получить доступ к существующим ресурсам, доступ к которым ограничен администраторами.

Как заявил Нил, вам необходимо назначить роль администратора каждому из этих пользователей.

У нас есть запрос на эволюцию, позволяющий пользователю изменить владение по умолчанию, доступное в приложении:

https://github.com/portainer/portainer/issues/685

И вы также можете ожидать более надежного подхода от нашего следующего расширения, которое представит расширенное управление доступом на основе ролей.

deviantony 3 апр. 2019

👍2

Все 3 Комментарий

Всем привет,

ЕСЛИ вы входите в систему как администратор и просматриваете каждую из страниц (стеки, службы, контейнеры, тома, сети, конфигурации, секреты), обратите внимание на столбец «владение». Если там написано «администраторы», то обычные пользователи НЕ смогут видеть ресурс.

Вы можете повысить уровень своего пользователя LDAP до администратора (щелкните его учетную запись в Portainer и отметьте его как администратора) или изменить контроль доступа на «общедоступный», чтобы все пользователи могли видеть ресурсы.