acl - RunDeck/ACL/自定义/用于非管理员组

Question

无法让属于“用户”组的用户访问(至少阅读)项目。我已经阅读并尝试了我在互联网上找到的几个例子，似乎没有一个工作。

我现在需要的是:允许属于“用户”组的任何用户读取名为 MYPROJECT 的项目。我有这个，保存在/etc/rundeck 下名为 user.aclpolicy 的文件中。我已经等了 60+ 秒。我也试过重新启动 RunDeck。没运气。

我不断得到:

You have no authorized access to projects. Contact your administrator. (User roles: raka, user)

description: application access to a project
  application: 'rundeck'
for:
  resource:
    - equals:
        kind: project
      deny: [create] # deny create of projects
    - equals:
        kind: system
      allow: [read] # allow read of system info
    - equals:
        kind: user
      deny: [admin] # allow modify user profiles
  project:
    - equals:
        name: 'MYPROJECT'
      allow: [read] # allow access
      deny: [import,export,configure,delete] # deny admin actions
  storage:
    - deny: [read,create,update,delete] # allow access for /keys/* storage content
by:
  group: user

上面的 YAML 有什么问题？我还检查了/var/lib/rundeck/exp/webapp/WEB-INF 下的 web.xml 以确保在那里注册了角色名称“用户”。

我的 realm.properties 包含这一行:

raka:greentooth60,user

我也试过这个。基本上复制“管理员”组的任何内容。为此，我还尝试将其直接放在 admin.aclpolicy 而不是单独的文件中。仍然没有运气。

description: User, all access.
context:
  project: '.*' # all projects
for:
  resource:
    - allow: '*' # allow read/create all kinds
  adhoc:
    - allow: '*' # allow read/running/killing adhoc jobs
  job:
    - allow: '*' # allow read/write/delete/run/kill of all jobs
  node:
    - allow: '*' # allow read/run for all nodes
by:
  group: user

RunDeck 版本:Rundeck 2.6.9-1 cafe bonbon indigo Tower 2016-08-03

这是 RunDeck (.deb) 的 debian 安装。我可以查看哪些日志文件来分析此类情况？

谢谢，
拉卡

Answer 1

RunDeck ACL 可能违反直觉，需要一些时间来适应。对于可见性，尤其是当您开始编写 RunDeck ACL 策略时，最好只设置允许用户执行的操作，而不是拒绝访问。默认情况下，什么都不允许，所以你只需要添加 allow声明以授予用户访问资源的权限。

RunDeck 需要“应用程序”上下文和“项目”上下文的 ACL 策略。您正在指定 read访问应用程序上下文中的项目，并在项目上下文中按名称访问所有作业(在您的情况下 .* )，但您还需要授予对 read 的访问权限资源类型 job为了让工作可见。请参阅下面的示例。

有用的日志

对于 RunDeck 故障排除，我发现以下日志很有用:

tail -f /var/log/rundeck/{rundeck.log,service.log}

测试 ACL 策略

如果要针对 ACL 文件测试特定用户操作，可以使用工具 rd-acl与 RunDeck 一起安装。例如，要测试组 user 的成员可以看职位 restart some server在项目中 MYPROJECT ， 你可以做:

rd-acl test -p 'MYPROJECT' -g user -c project -j 'restart some server' -a read

更多详情请见 rd-acl manual .

只读 ACL 示例

这是一个示例(在 Rundeck 2.6.9-1 上测试)，它应该授予“用户”组中的任何人读取您的 RunDeck 服务器上的所有内容的权限:

context:
  application: rundeck
description: "normal users will only have read permissions"
for:
  project:
    - match:
        name: '.*'
      allow: [read]
  system:
    - match:
        name: '.*'
      allow: [read]
by:
  group: user

---

context:
  project: '.*'
description: "normal users will only have read permissions"
for:
  resource:
    - equals:
        kind: 'node'
      allow: [read,refresh]
    - equals:
        kind: 'job'
      allow: [read]
    - equals:
        kind: 'event'
      allow: [read]
  job:
    - match:
        name: '.*'
      allow: [read]
  node:
    - match:
        nodename: '.*'
      allow: [read,refresh]
by:
  group: user