LRZ-vSphere Berechtigungen – Anleitung für Master User
Vorwort
Durch die Umstellung der Authentifizierung von ADS auf SIM/LDAP ergeben sich völlig neue Möglichkeiten und Verfahren zur Validierung von Benutzern. Daher führen wir zeitgleich ein neues Berechtigungskonzept ein, das in sich konsistent, einfach zu verstehen und vor allem auch leichter zu verwalten ist.
Bislang musste jede zu berechtigende Kennung eine Projekt-Kennung sein. Dies konnte dazu führen, dass Master User mit mehreren Projekten unterschiedliche Kennungen für jedes einzelne ihrer Projekte verwenden mussten. Durch die Einführung des neuen Konzeptes entfällt die Bindung an Projekt-Kennungen. Es können nun beliebige Kennungen für den Zugriff berechtigt werden. Eine Zuweisung von "LRZ-vSphere" Berechtigungen an einzelne Kennungen ist nicht mehr notwendig und obsolet.
Die virtuellen Maschinen des Dienstes "Server-Hosting" sind grundsätzlich in die jeweiligen LRZ-Projekte aufgeteilt. Jeder Master User bekommt die Möglichkeit, die Berechtigungen für die VMs seines Projekts selbst zu vergeben oder die Berechtigungsvergabe an andere Benutzer (SIM-Gruppenverwalter) zu delegieren.
Begriffsdefinitionen
Die folgende Tabelle gibt einen Überblick über die verwendeten Begriffe.
| Begriff | Erklärung | Kontext |
|---|---|---|
| LRZ-vSphere Administrator | Die Administratoren der LRZ-vSphere Infrastruktur. | Organisation |
| SIM-Gruppe | Berechtigungsgruppen in LRZ-SIM, die über das IDM-Portal verwaltet werden können. | LRZ-SIM / IDM-Portal |
| SIM-Gruppenverwalter | Benutzer bzw. Benutzerkreis, der die Mitglieder einer SIM-Gruppe verwalten darf. | LRZ-SIM / IDM-Portal |
| VM-Nutzer | Auf die VMs eines Projekts berechtigter Benutzer. | Organisation |
Schema
LRZ-SIM / IDM-Portal
Jedem LRZ-Projekt mit "LRZ-vSphere" Berechtigung ist eine SIM-Gruppe zugeordnet, die der jeweilige Master User oder SIM-Gruppenverwalter mit berechtigten VM-Nutzern füllen kann:
| SIM-Gruppen-Schema | Beispiel | Mitglieder erhalten Zugriff auf |
|---|---|---|
| IFS_<Projekt-Name> | IFS_pr45te | Alle VMs des LRZ-Projekts |
Verwaltung
Die Verwaltung der Mitglieder der SIM-Gruppen erfolgt im IDM-Portal 2 (https://idmportal2.lrz.de/) durch die Master User oder SIM-Gruppenverwalter.
Die SIM-Gruppen sind dem Dienst LRZ-vSphere zugeordnet.
VM-Nutzer berechtigen
1. Im gewünschten Projekt: Gruppen → IFS_<Projekt-Name> anklicken
2. In der Gruppe: Bearbeiten → Gruppenmitglieder: Bearbeiten
4. Kennung eingeben → hinzufügen → Übernehmen
5. Speichern
Login in die LRZ-vSphere
Der vSphere Client wird über die LRZ-vSphere Startseite aufgerufen.
Durch Eingabe der Kennung in einem speziellen Format kann die Art der Authentifizierung spezifisch festgelegt werden.
Ohne Angabe der Domain erfolgt die Authentifizierung über die Standard-Identitätsquelle.
| Kennungsformat | Alternative Schreibweisen | Identitätsquelle |
|---|---|---|
di72buy | LRZ-SIM | |
di72buy@sim | di72buy@sim.lrz.desim\di72buy | LRZ-SIM |