Atelier - Les contrôles d’accès

Lisez ceci dans d’autres langues:
uk English, japan日本語, brazil Portugues do Brasil, france Française, Español Español.

Table des matières

Objectif

Vous avez déjà appris comment Ansible Tower sépare les informations d’identification des utilisateurs. Un autre avantage d’Ansible Tower est la gestion des droits des utilisateurs et des groupes. Cet exercice montre le contrôle d’accès basé sur les rôles (RBAC)

Guide

Les utilisateurs

Il existe trois types d’utilisateurs:

Créons un utilisateur:

Parametre Valeur
FIRST NAME Werner
LAST NAME Web
Organization Default
EMAIL wweb@example.com
USERNAME wweb
PASSWORD ansible
CONFIRM PASSWORD ansible
USER TYPE Normal User

Les équipes

Une équipe est une subdivision d’une organisation avec des utilisateurs, des projets, des informations d’identification et des autorisations associés. Les équipes fournissent un moyen de mettre en œuvre des schémas de contrôle d’accès basés sur les rôles et de déléguer les responsabilités entre les organisations. Par exemple, des autorisations peuvent être accordées à une équipe entière plutôt qu’à chaque utilisateur de l’équipe.

Créer une équipe:

Vous pouvez maintenant ajouter un utilisateur à l’équipe:

Maintenant, cliquez sur le bouton PERMISSIONS dans la vue ÉQUIPES, vous serez accueilli avec “Aucune autorisation n’a été accordée”.

Les autorisations permettent de lire, de modifier et d’administrer des projets, des inventaires et d’autres éléments de la tour. Les autorisations peuvent être définies pour différentes ressources.

Octroi d autorisations

Pour permettre aux utilisateurs ou aux équipes de faire quelque chose, vous devez définir des autorisations. L’utilisateur wweb ne devrait être autorisé qu’à modifier le contenu des serveurs Web affectés.

Ajoutez l’autorisation d’utiliser le modèle:

Test des autorisations

Déconnectez-vous maintenant de l’interface utilisateur Web de Tower et reconnectez-vous en tant qu’utilisateur wweb.

Vérifiez le résultat: exécutez à nouveau curl sur l’hôte de contrôle pour extraire le contenu du serveur Web sur l’adresse IP de node1 (vous pouvez bien sûr vérifier aussi node2 et node3):

$ curl http://22.33.44.55

Rappelez-vous simplement ce que vous venez de faire: vous avez autorisé un utilisateur restreint à exécuter un Playbook Ansible

En effet, vous avez fourni le pouvoir d’exécuter l’automatisation à un autre utilisateur sans remettre vos informations d’identification ou donner à l’utilisateur la possibilité de modifier le code d’automatisation. Et pourtant, en même temps, l’utilisateur peut toujours modifier les choses en fonction des questionnaires que vous avez créées.

Cette capacité est l’une des principales forces d’Ansible Tower !


Navigation
Exercice précédent - Exercice suivant

Cliquez ici pour revenir à l’atelier Ansible pour Red Hat Enterprise Linux