Dies ist die Fortsetzung von OpenNebula ACLs und Foreman Teil 1 von 2
Vorab eine kurze Zusammenfassung:
Wir haben in OpenNebula einen User angelegt, der durch ACL-Einträge auf bestimmte Ressourcen beschränkt wurde und bereits in der Lage ist, VMs in OpenNebula anzulegen. Über die bestehende Integration von Foreman und OpenNebula soll dieser User nun durch Foreman virtuelle Maschinen anlegen. Dazu müssen jedoch in Foreman noch einige Voraussetzungen erfüllt werden, wie im folgenden Artikel dargestellt werden soll.
(Wir verwenden hier Foreman in der Version 1.11.2 in einer gepatchten Version.)
Als ersten Schritt legen wir auch in Foreman einen Benutzer an:
Bildschirmfoto 2016-06-08 um 14.20.39
Damit dieser User auf OpenNebula zugreifen kann, muss ein neuer Eintrag in den “Compute resources” mit den Credentials des vorher angelegten OpenNebula-Benutzers angelegt werden:
Screen Shot 2016-06-22 at 10.05.49
(Um zu verdeutlichen, dass es sich hierbei nicht um den Foreman-User handelt, habe ich den User-Namen leicht verdreht)
Für den Zugriff auf die Ressourcen, braucht der User eine Rolle. Diese wird eingerichtet und beschränkt:
Bildschirmfoto 2016-06-08 um 14.33.04
Die Einschränkungen erreicht man über das Setzen von ACL, in Foreman “Filtern”. In unserem Fall kommen hier viele Einträge zusammen, da wir den User auf einige wenige Ressourcen beschränken wollen.
Bildschirmfoto 2016-06-08 um 14.33.15
Bildschirmfoto 2016-06-08 um 14.33.26
Dieser Blogpost dient nur als schnelle Übersicht. Wer tiefer in diese Materie einsteigen möchte, klickt hier.
Nachdem die Filter gesetzt wurden, muss dem User natürlich auch diese Rolle zugewiesen werden:Bildschirmfoto 2016-06-08 um 14.34.32
Hier unbedingt den Haken bei “Administrator” entfernen! Ein Nutzer mit dieser Eigenschaft wird in Foreman durch keinen Filter eingeschränkt.
Fazit:
Wir haben nun zwei User, einen in OpenNebula, einen in Foreman. Beide sind durch ACL/”Filter” in ihren Aktionen beschränkt und können somit nur in einem fest zugewiesenen Bereich agieren.Durch die feine Granulierung der Einschränkungen können Benutzer für unterschiedlichste Szenarien angelegt werden, ohne dass andere Benutzer betroffen sind.
Wer sich durch diesen Anriss motiviert fühlt, mehr über dieses Thema zu erfahren: Tiefer ins Detail gehen die Kollegen Christian Stein und Dirk Götz in einem Webinar am 26.07.
 
 

Tim Albert
Tim Albert
Systems Engineer

Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert, wobei seine Tätigkeit als Werkstudent bei IDS Scheer seinen Schwenk von Lehramt zur IT erheblich beeinflusst hat. Neben dem Studium hat Tim sich außerdem noch bei einer Werkskundendienstfirma im User-Support verdingt. Blerim und Sebastian haben ihn Anfang 2016 zu uns ins Managed Services Team geholt, wo er sich nun insbesondere...