演習 8: 自動コントローラーの RBAC について
他の言語でもお読みいただけます: 
English、
日本語, 
Español.
目次
目的
自動コントローラーを使用する主な利点の 1 つは、システムを使用するユーザーを制御できることです。この演習の目的は、ロールベースのアクセス制御 (RBAC) を理解することです。自動コントローラー管理者は、これを使用してテナント、チーム、ロールを定義し、ユーザーをそれらのロールに関連付けることができます。これにより、組織は自動化システムを保護し、コンプライアンスの目標と要件を満たすことができます。
ガイド
自動コントローラーの用語をいくつか確認しましょう。
- 組織: たとえば、Network-org、Compute-org などのテナンシーを定義します。これは、顧客の組織の内部組織構造を反映している可能性があります。
- チーム: 各組織内には、複数のチームが存在する場合があります。たとえば、tier1-helpdesk、tier2-support、tier3-support、build-team などです。
- ユーザー: ユーザーは通常、チームに属しています。自動コントローラー内でユーザーが実行できることは、ロール を使用して制御/定義されます。
- ロール: ロールは、ユーザーが実行できるアクションを定義します。これは、ユーザーがレベル 1 のヘルプデスク担当者、レベル 2、または上級管理者のいずれであるかに基づいてアクセスが制限されている一般的なネットワーク組織に非常にうまく対応できます。自動コントローラー ドキュメント は、一連の組み込みロールを定義します。
ステップ 1: 組織を開く
-
admin ユーザーで自動コントローラーにログインします。
Parameter Value username adminpassword provided by instructor -
admin ユーザーとしてログインしていることを確認します。
-
Access セクションで、Organizations をクリックします
admin ユーザーとして、自動コントローラー用に設定されたすべての組織を表示できます。
注記: このワークショップでは、組織、チーム、およびユーザーが自動入力されました -
組織を調べます
2 つの組織があります (デフォルト以外):
- Red Hat compute organization
- Red Hat network organization
このページには、それに関連するすべてのチーム、ユーザー、インベントリ、プロジェクト、およびジョブテンプレートの概要が表示されます。組織レベルの管理者が構成されている場合は、それも表示されます。
ステップ 2: ネットワーク組織を開く
-
Red Hat network organization をクリックします。
これにより、組織の詳細を表示するセクションが表示されます。
-
Access タブをクリックして、この組織に関連付けられているユーザーを表示します。
network-admin と network-operator ユーザーの両方がこの組織に関連付けられていることを確認します。
ステップ 3: チームの検証
-
サイドバーの Teams をクリックします
-
チームを調べます。自動コントローラー管理者は、利用可能なすべてのチームを表示できます。4 つのチームがあります。
- Compute T1
- Compute T2
- Netadmin
- Netops
ステップ 4: Netops チームの検証
-
Netops チームをクリックしてから、Access タブをクリックします。2 人の特定のユーザーに注意してください。
- network-admin
- network-operator
-
次の 2 つの点に注意してください。
- network-admin ユーザーには、Red Hat network organization の管理者権限があります。
- network-operator は、単に Netops チームのメンバーです。これらの各ユーザーについて詳しく調べ、ロールを理解します
ステップ 5: network-admin としてのログイン
-
自動コントローラー UI の右上隅にある admin ボタンをクリックして、管理者ユーザーからログアウトします。
-
network-admin ユーザーでシステムにログインします。
Parameter Value username network-admin password provided by instructor -
network-admin ユーザーとしてログインしていることを確認します。
-
サイドバーの Organization リンクをクリックします。
自分が管理者である組織 Red Hat network organization のみを表示できることに気付くでしょう。
次の 2 つの組織はもう表示されません。
- Red Hat compute organization
- Default
-
ボーナスステップ: これをネットワークオペレーターユーザーとして試してください (network-admin と同じパスワード)。
- network-operator と network-admin の違いは?
- ネットワーク事業者として、他のユーザーを表示できるか。
- 新しいユーザーを追加したり、ユーザーの資格情報を編集したりできるか。
ステップ 6: チームのロールについて
-
さまざまなロール、つまり RBAC がどのように適用されるかを理解するには、admin ユーザーとしてログアウトしてから再度ログインします。
-
インベントリー に移動し、Workshop Inventory をクリックします
-
Access ボタンをクリックします。
-
各ユーザーに割り当てられているパーミッションを調べます
注記: network-admin および network-operator ユーザーに割り当てられた ロール。*Use ロールを割り当てることにより、network-operator ユーザーにこの特定のインベントリを使用する権限が付与されます。
ステップ 7: ジョブテンプレートのパーミッション
-
左側のメニューの Template ボタンをクリックします
-
Netowork-Commands ジョブテンプレートをクリックします
-
上部の Access ボタンをクリックします
注記: 同じユーザーがジョブテンプレートに対して異なるロールを持ちます。これは、「誰が何にアクセスできるか」を制御することにおいて、自動コントローラーを使用して運用者が導入できる粒度を強調しています。この例では、network-adminは Network-Commands ジョブテンプレートを更新 (管理) できますが、network-operator はそれを 実行 することしかできません。
ステップ 8: network-operator としてのログイン
最後に、RBAC の動作を確認します。
-
admin でログアウトし、network-operator ユーザーとして再度ログインします。
Parameter Value username network-operatorpassword provided by instructor -
Templates に移動し、Network-Commands ジョブテンプレートをクリックします。
network-operator ユーザーは、どのフィールドも変更できないことに注意してください。Edit ボタンは利用できなくなります。
ステップ 9: ジョブテンプレートの起動
-
Launch ボタンをクリックして、Network-Commands テンプレートを起動します。
-
事前設定された show コマンドの 1 つを選択できるダイアログボックスが表示されます。
-
先に進んでコマンドを選択し、** Next** に続いて Launch をクリックして、実行中の Playbook と表示されている結果を確認します。
ボーナスステップ
時間があれば、network-admin として再度ログインし、オペレーターに実行させたい別の show コマンドを追加します。これは、network-admin ユーザーの Admin ロールでジョブテンプレートを編集/更新する方法を確認するのにも役立ちます。
重要なこと
- 自動コントローラーの強力な RBAC 機能を使用すると、オペレーターがシステム自体にアクセスせずに、本番システムで所定のコマンドを実行できるアクセスを簡単に制限できることがわかります。
- 自動コントローラーは、複数の組織、複数のチーム、およびユーザーに対応できます。ユーザーは、必要に応じて複数のチームや組織に属することもできます。この演習で説明されていないことは、自動コントローラーでユーザーを管理する必要がないことです。エンタープライズ認証 を使用できます。これは、Active Directory、LDAP、RADIUS、SAML、および TACACS+ を含みます。
- 例外が必要な場合 (ユーザーはアクセスが必要ですが、チーム全体は必要ありません)、これも可能です。RBAC の粒度は、個々のユーザーの資格情報、インベントリー、またはジョブテンプレートにまで及ぶ可能性があります。
完了
ラボ演習 8 を完了しました