用户及权限管理
Rancher Docs: Authentication
Rancher Docs: Role-Based Access Control (RBAC)
Rancher Docs: Global Permissions
Rancher Docs: Cluster and Project Roles
用户登录认证:
External 及 Local 两种认证;
Local 认证无法使用 Group 功能;
权限管理:
1)Global Permissions:为某特定集群外的权限,即控制用户对 Rancher 的访问及控制;
2)Cluster and Project Roles:集群及项目权限,在集群或项目内赋予用户的权限;
Global Permissions(当创建用户时)
1)Administrator:管理员权限;
2)Restricted Admin:无管理 Local Cluster 权限;
3)Standard User:创建并使用集群,同时能将自身集群权限授予其他用户;
4)User-Base:仅仅具有登录权限。针对仅需项目管理的普通用户,在创建时,我们通常赋予该权限;
Cluster Roles(当将用户加入集群时)
1)Cluster Owner:能够控制整个集群;
2)Cluster Member:能够管理集群的多数资源,并且能够创建项目;
3)Custom:自定义权限。针对仅需项目管理的普通用户,在创建时,我们通常赋予自定义的只读权限;
Project Roles(当用户访问项目时)
1)Project Owner:针对项目的所有权,我们将该权限赋予相关的负责人;
2)Project Member:针对项目管理的用户,我们将赋予该权限;权限无法管理成员及目录(Catelogs);
3)Read Only:对于部分仅具有只读权限的用户,我们将赋予该权限;
4)Custom:针对需要定制权限的用户,我们将赋予该权限;
接入 Light LDAP 服务
参考 LLDAP 文档 https://github.com/lldap/lldap/blob/main/example_configs/rancher.md
用户默认权限
在 Rancher 中,用户默认授予 Standard User 权限,在 Users & Authentication / Role Templates / Global 中,查看。
我们需求:
- 创建默认组,该组设置默认权限,默认能够访问特定集群,
- 通过 LDAP 登陆的用户将属于该组。
# 05/25/2025 Rancher 2.10.3 LLDAP 0.6.1 LLDAP 的组信息为同步到 Rancher 中。所以,我们暂时未找到为用户授予默认权限的方法。
Assigning global roles to a group only works with external auth providers that support groups.