5.4. ロールの作成および管理
Red Hat Satellite では、標準的なタスクに十分なパーミッションとなる事前定義済みロール一式が提供されます (「Satellite で利用可能な事前定義済みロール」 を参照)。また、カスタムロールを設定し、このカスタムロールに 1 つ以上のパーミッションフィルターを割り当てることもできます。パーミッションフィルターでは、特定のリソースタイプに許可されるアクションを定義します。特定の Satellite プラグインによりロールが自動的に作成されます。
5.4.1. ロールの作成
以下の手順を使用してロールを作成します。
手順
- 管理 > ロール に移動します。
- ロールの作成 をクリックします。
- ロールの 名前 を記入します。
- 送信 をクリックして、新しいロールを保存します。
CLI 手順
以下のコマンドを実行してロールを作成します。
# hammer role create --name role_name
ロールにはパーミッションを含める必要があります。ロールの作成後は、「ロールへのパーミッションの追加」 に進んでください。
5.4.2. ロールのクローン作成
Satellite Web UI を使用してロールのクローンを作成します。
手順
- 管理 > ロール に移動して、必要なロールの右側にあるドロップダウンメニューから クローン を選択します。
- ロールの 名前 を記入します。
- 送信 をクリックしてロールのクローンを作成します。
- クローンされたロールの名前をクリックし、フィルター に移動します。
- 必要に応じて、パーミッションを編集します。
- 送信 をクリックして、新しいロールを保存します。
5.4.3. ロールへのパーミッションの追加
以下の手順を使用して、ロールにパーミッションを追加します。Web UI の代わりに CLI を使用する場合は、CLI 手順 を参照してください。
手順
- 管理 > ロール に移動します。
- 必要なロールの右側にあるドロップダウンリストから フィルターの追加 を選択します。
- ドロップダウンリストから リソースタイプ を選択します。(その他) グループには、どのリソースグループにも関連付けられていないパーミッションが含まれます。
- 選択するパーミションを パーミッション リストからクリックします。
- リソースタイプ での選択により、無制限 と 上書き のチェックボックスが表示されます。無制限 チェックボックスはデフォルトで選択され、選択されたタイプの全リソースにパーミッションが適用されます。無制限 チェックボックスを無効にすると、検索 フィールドが有効になります。このフィールドで、Red Hat Satellite 6 の検索構文を使用して詳細なフィルタリングを指定できます。詳細は、「詳細なパーミッションフィルタリング」 を参照してください。上書き チェックボックスを有効にすると、新たなロケーションと組織を追加して、それらのロケーションや組織のリソースタイプにこのロールがアクセスできるようになります。また、すでに関連付けられたロケーションや組織をリソースタイプから削除して、アクセスを制限することもできます。
- 次へ をクリックします。
- Submit をクリックして変更を保存します。
CLI 手順
利用可能な全パーミッションを表示します。
# hammer filter available-permissions
ロールにパーミッションを追加します。
# hammer filter create \ --role role_name \ --permission-ids perm_ID1,perm_ID2...
ロールとパーミッションパラメーターの詳細は、hammer role --help
および hammer filter --help
コマンドを入力します。
5.4.4. ロールのパーミションの表示
Satellite Web UI を使用してロールのパーミッションを表示します。
手順
- 管理 > ロール に移動します。
- 必要なロールの右側にある フィルター をクリックして、フィルター ページを開きます。
フィルター ページでは、リソースタイプ別にグループ化されたロールに割り当てられたパーミッションの表が示されます。また、このページでは、Satellite システムで使用できるパーミッションとアクションの完全な表を生成できます。手順は 「パーミッションの完全テーブルの作成」 を参照してください。
5.4.5. パーミッションの完全テーブルの作成
Satellite CLI を使用してパーミッションテーブルを作成します。
手順
必要なパッケージがインストールされていることを確認します。Satellite Server で以下のコマンドを実行します。
# satellite-maintain packages install foreman-console
以下のコマンドで Satellite コンソールを起動します。
# foreman-rake console
コンソールに以下のコードを挿入します。
f = File.open('/tmp/table.html', 'w') result = Foreman::AccessControl.permissions {|a,b| a.security_block <=> b.security_block}.collect do |p| actions = p.actions.collect { |a| "<li>#{a}</li>" } "<tr><td>#{p.name}</td><td><ul>#{actions.join('')}</ul></td><td>#{p.resource_type}</td></tr>" end.join("\n") f.write(result)
上記の構文により、パーミッションの表が作成され、
/tmp/table.html
ファイルに保存されます。Ctrl
+D
を押して、Satellite コンソールを終了します。/tmp/table.html
の最初の行に以下のテキストを挿入します。<table border="1"><tr><td>Permission name</td><td>Actions</td><td>Resource type</td></tr>
/tmp/table.html
の最後に以下のテキストを追加します。</table>
-
Web ブラウザーで
/tmp/table.html
を開いて、表を確認します。
5.4.6. ロールの削除
Satellite Web UI を使用してロールを削除します。
手順
- 管理 > ロール に移動します。
- 削除するロールの右側にあるドロップダウンリストから 削除 を選択します。
- 警告ボックスで、OK をクリックしてロールを削除します。
5.4.7. Satellite で利用可能な事前定義済みロール
ロール | ロールが提供するパーミッション [a] |
---|---|
Access Insights Admin | Insights のルールを追加して編集します。 |
Access Insights Viewer | Insight レポートを表示します。 |
Ansible Roles Manager | ホストおよびホストグループでのロールのプレイ。Ansible ロールを表示、破棄、およびインポートします。Ansible 変数を表示、編集、作成、破棄、およびインポートします。 |
Ansible Tower Inventory Reader | ファクト、ホスト、およびホストグループを表示します。 |
Bookmarks manager | ブックマークを作成、編集、削除します。 |
Boot disk access | 起動ディスクをダウンロードします。 |
Compliance manager | SCAP コンテンツファイル、コンプライアンスポリシー、テーラリングファイルの表示、作成、編集、破棄を行います。コンプライアンスレポートを表示します。 |
Compliance viewer | コンプライアンスレポートを表示します。 |
Create ARF report | コンプライアンスレポートを作成します。 |
Default role | 他のロールに関係なく、各ユーザーに与えられる一連のパーミッション。 |
Discovery Manager | 検出されたホストを表示、プロビジョニング、編集、および破棄し、検出ルールを管理します。 |
Discovery Reader | ホストと検出ルールを表示します。 |
Edit hosts | ホストを表示、作成、編集、破棄、および構築します。 |
Edit partition tables | パーティションテーブルを表示、作成、編集、および破棄します。 |
Manager | 管理者のロールに似ているが、グローバル設定の編集パーミッションがありません。Satellite Web UI では、グローバル設定は、管理 > 設定 にあります。 |
Organization admin | 組織ごとに定義された管理者ロール。このロールでは、他の組織のリソースは表示できません。 |
Red Hat Access Logs | ログビューアーとログを表示します。 |
Remote Execution Manager | 完全リモート実行パーミッションのあるロール。ジョブテンプレートの編集も含まれます。 |
Remote Execution User | リモート実行ジョブを実行します。 |
Site manager | Manager ロールの制限バージョン。 |
System admin |
このロールが指定されたユーザーは、ユーザーを作成したり、そのユーザーに全ロールを割り当てたりできます。そのため、このロールは信頼できるユーザーにのみ付与してください。 |
Tasks manager | Satellite タスクを表示および編集します。 |
Tasks reader | Satellite タスクの表示のみが可能なロール。 |
Viewer | Satellite 構造、ログ、レポートおよび統計の各要素の設定を表示できる機能を提供する受動的なロール。 |
View hosts | ホストの表示のみが可能なロール。 |
Virt-who Manager | 完全な virt-who パーミッションのあるロール。 |
Virt-who Reporter | virt-who が生成したレポートを Satellite にアップロードできます。virt-who を手動で設定して、限定的な virt-who パーミッションを持つユーザーロールが必要な場合に使用できます。 |
Virt-who Viewer | virt-who 設定の表示ができます。このロールでは、既存の virt-who 設定 を使用した virt-who インスタンスのデプロイができます。 |
[a]
「ロールのパーミションの表示」 に記載されている特権ユーザーでは、事前定義されたロールに関連付けられている許可アクションをそのまま表示できます。
|