10.3. 远程执行的权限
您可以控制哪些用户可以在基础架构中运行哪些作业,包括他们可以目标的主机。远程执行功能提供两个内置角色:
- 远程执行管理器 :此角色允许访问所有远程执行功能和功能。
- 远程执行用户 :此角色仅允许运行作业;它不提供修改作业模板的权限。
您可以克隆远程执行用户角色并自定义其过滤器以增加粒度。如果您使用 view_job_templates 权限调整过滤器,用户只能根据匹配的作业模板查看并触发作业。您可以使用 view_hosts 和 view_smart_proxies 权限来限制角色可以看到哪些主机或 Capsule。
execute_template_invocation 权限是一个特殊权限,它会在执行任务开始前立即检查。此权限定义您可以在特定主机上运行的作业模板。这在指定权限时允许更多粒度。有关使用角色和权限的更多信息,请参阅管理 Red Hat Satellite 中的创建和管理角色。
以下示例显示了 execute_template_invocation 权限的过滤器:
name = Reboot and host.name = staging.example.com name = Reboot and host.name ~ *.staging.example.com name = "Restart service" and host_group.name = webservers
本例中的第一行允许用户将 Reboot 模板应用到所选主机。第二行定义了名称以 .staging.example.com 结尾的主机池。第三行将模板与主机组绑定。
注意
分配给用户的权限可能会随着时间而改变。如果用户已在将来调度了一些作业,且权限已更改,这可能会导致执行失败,因为权限会在作业执行前立即检查。
