10.3. 为远程执行委派权限
您可以控制哪些用户可以在基础架构中运行哪些作业,包括它们可以针对哪些主机。远程执行功能提供两个内置角色:
- 远程执行管理器 :此角色允许访问所有远程执行特性和功能。
- 远程执行用户 :此角色仅允许运行作业;它不提供修改作业模板的权限。
您可以克隆 Remote Execution User 角色,并自定义其过滤器以增加粒度。如果您使用 view_job_templates 权限调整过滤器,则用户只能根据匹配的作业模板查看和触发作业。您可以使用 view_hosts 和 view_smart_proxies 权限来限制角色可以看到哪些主机或胶囊。
execute_template_invocation 权限是一个特殊权限,在执行作业开始前立即检查。此权限定义您可以在特定主机上运行的作业模板。这在指定权限时允许更多粒度。有关使用角色和权限的更多信息,请参阅 管理 Red Hat Satellite 中的创建和管理角色。
以下示例显示了 execute_template_invocation 权限的过滤器:
name = Reboot and host.name = staging.example.com name = Reboot and host.name ~ *.staging.example.com name = "Restart service" and host_group.name = webservers
本例中的第一行允许用户将 Reboot 模板应用到一个选定的主机。第二行定义了名称以 .staging.example.com 结尾的主机池。第三行将模板与主机组绑定。
注意
分配给用户的权限可能会随时间改变。如果用户已计划一些作业来在以后运行,并且权限已更改,这可能会导致执行失败,因为权限会在作业执行前立即检查。
