「Rancher」- Maintenance, Administration

用户及权限管理

Rancher Docs: Authentication
Rancher Docs: Role-Based Access Control (RBAC)
Rancher Docs: Global Permissions
Rancher Docs: Cluster and Project Roles

用户登录认证:
External 及 Local 两种认证;
Local 认证无法使用 Group 功能;

权限管理:
1)Global Permissions:为某特定集群外的权限,即控制用户对 Rancher 的访问及控制;
2)Cluster and Project Roles:集群及项目权限,在集群或项目内赋予用户的权限;

Global Permissions(当创建用户时)

1)Administrator:管理员权限;
2)Restricted Admin:无管理 Local Cluster 权限;
3)Standard User:创建并使用集群,同时能将自身集群权限授予其他用户;
4)User-Base:仅仅具有登录权限。针对仅需项目管理的普通用户,在创建时,我们通常赋予该权限;

Cluster Roles(当将用户加入集群时)

1)Cluster Owner:能够控制整个集群;
2)Cluster Member:能够管理集群的多数资源,并且能够创建项目;
3)Custom:自定义权限。针对仅需项目管理的普通用户,在创建时,我们通常赋予自定义的只读权限;

Project Roles(当用户访问项目时)

1)Project Owner:针对项目的所有权,我们将该权限赋予相关的负责人;
2)Project Member:针对项目管理的用户,我们将赋予该权限;权限无法管理成员及目录(Catelogs);
3)Read Only:对于部分仅具有只读权限的用户,我们将赋予该权限;
4)Custom:针对需要定制权限的用户,我们将赋予该权限;

接入 Light LDAP 服务

参考 LLDAP 文档 https://github.com/lldap/lldap/blob/main/example_configs/rancher.md

用户默认权限

在 Rancher 中,用户默认授予 Standard User 权限,在 Users & Authentication / Role Templates / Global 中,查看。

我们需求:

  • 创建默认组,该组设置默认权限,默认能够访问特定集群,
  • 通过 LDAP 登陆的用户将属于该组。

# 05/25/2025 Rancher 2.10.3 LLDAP 0.6.1 LLDAP 的组信息为同步到 Rancher 中。所以,我们暂时未找到为用户授予默认权限的方法。

Assigning global roles to a group only works with external auth providers that support groups.