Описание ошибки
Пользователи, импортированные LDAP (из Aactive Directory), не могут видеть стеки, службы, контейнеры, тома или сети. Единственный работающий раздел - изображения. Пользователям предоставляется доступ к конечной точке напрямую с помощью опции управления доступом. Не работает предоставление доступа пользователю напрямую или через импортированную группу LDAP.
Ожидаемое поведение
Импортированные пользователи LDAP должны иметь доступ ко всем ресурсам, которые являются частью конечной точки, к которой администратор предоставил им доступ.
Действия по воспроизведению проблемы:
Шаги по воспроизведению поведения:
Технические подробности:
docker run -p 9000:9000 portainer/portainer
): docker stack deploy --compose-file = portainer-agent-stack.yml portainer (файл композитора по умолчанию в инструкциях по развертыванию)Всем привет,
ЕСЛИ вы входите в систему как администратор и просматриваете каждую из страниц (стеки, службы, контейнеры, тома, сети, конфигурации, секреты), обратите внимание на столбец «владение». Если там написано «администраторы», то обычные пользователи НЕ смогут видеть ресурс.
Вы можете повысить уровень своего пользователя LDAP до администратора (щелкните его учетную запись в Portainer и отметьте его как администратора) или изменить контроль доступа на «общедоступный», чтобы все пользователи могли видеть ресурсы.
Это не ошибка, и это нормальное поведение приложения Portainer.
Все ресурсы, созданные вне Portainer, будут доступны только администраторам, это также политика по умолчанию при создании ресурса внутри Portainer.
При использовании аутентификации LDAP / OAuth вновь созданным пользователям будет назначена роль обычного пользователя при создании, и они не смогут получить доступ к существующим ресурсам, доступ к которым ограничен администраторами.
Как заявил Нил, вам необходимо назначить роль администратора каждому из этих пользователей.
У нас есть запрос на эволюцию, позволяющий пользователю изменить владение по умолчанию, доступное в приложении:
https://github.com/portainer/portainer/issues/685
И вы также можете ожидать более надежного подхода от нашего следующего расширения, которое представит расширенное управление доступом на основе ролей.
Спасибо, ребята! Сначала меня это немного сбивало с толку, но это все объясняет.
Самый полезный комментарий
Это не ошибка, и это нормальное поведение приложения Portainer.
Все ресурсы, созданные вне Portainer, будут доступны только администраторам, это также политика по умолчанию при создании ресурса внутри Portainer.
При использовании аутентификации LDAP / OAuth вновь созданным пользователям будет назначена роль обычного пользователя при создании, и они не смогут получить доступ к существующим ресурсам, доступ к которым ограничен администраторами.
Как заявил Нил, вам необходимо назначить роль администратора каждому из этих пользователей.
У нас есть запрос на эволюцию, позволяющий пользователю изменить владение по умолчанию, доступное в приложении:
https://github.com/portainer/portainer/issues/685
И вы также можете ожидать более надежного подхода от нашего следующего расширения, которое представит расширенное управление доступом на основе ролей.