LRZ-vSphere Berechtigungen – Anleitung für Master User

Vorwort

Durch die Umstellung der Authentifizierung von ADS auf SIM/LDAP ergeben sich völlig neue Möglichkeiten und Verfahren zur Validierung von Benutzern. Daher führen wir zeitgleich ein neues Berechtigungskonzept ein, das in sich konsistent, einfach zu verstehen und vor allem auch leichter zu verwalten ist.

Bislang musste jede zu berechtigende Kennung eine Projekt-Kennung sein. Dies konnte dazu führen, dass Master User mit mehreren Projekten unterschiedliche Kennungen für jedes einzelne ihrer Projekte verwenden mussten. Durch die Einführung des neuen Konzeptes entfällt die Bindung an Projekt-Kennungen. Es können nun beliebige Kennungen für den Zugriff berechtigt werden. Eine Zuweisung von "LRZ-vSphere" Berechtigungen an einzelne Kennungen ist nicht mehr notwendig und obsolet.


Die virtuellen Maschinen des Dienstes "Server-Hosting" sind grundsätzlich in die jeweiligen LRZ-Projekte aufgeteilt. Jeder Master User bekommt die Möglichkeit, die Berechtigungen für die VMs seines Projekts selbst zu vergeben oder die Berechtigungsvergabe an andere Benutzer (SIM-Gruppenverwalter) zu delegieren.


Begriffsdefinitionen

Die folgende Tabelle gibt einen Überblick über die verwendeten Begriffe.

BegriffErklärungKontext
LRZ-vSphere AdministratorDie Administratoren der LRZ-vSphere Infrastruktur.Organisation
SIM-GruppeBerechtigungsgruppen in LRZ-SIM, die über das IDM-Portal verwaltet werden können.LRZ-SIM / IDM-Portal
SIM-GruppenverwalterBenutzer bzw. Benutzerkreis, der die Mitglieder einer SIM-Gruppe verwalten darf.LRZ-SIM / IDM-Portal
VM-NutzerAuf die VMs eines Projekts berechtigter Benutzer.Organisation


Schema

LRZ-SIM / IDM-Portal

Jedem LRZ-Projekt mit "LRZ-vSphere" Berechtigung ist eine SIM-Gruppe zugeordnet, die der jeweilige Master User oder SIM-Gruppenverwalter mit berechtigten VM-Nutzern füllen kann:

SIM-Gruppen-SchemaBeispielMitglieder erhalten Zugriff auf
IFS_<Projekt-Name>IFS_pr45teAlle VMs des LRZ-Projekts


Verwaltung

Die Verwaltung der Mitglieder der SIM-Gruppen erfolgt im IDM-Portal 2 (https://idmportal2.lrz.de/) durch die Master User oder SIM-Gruppenverwalter.

Die SIM-Gruppen sind dem Dienst LRZ-vSphere zugeordnet.

VM-Nutzer berechtigen

1. Im gewünschten Projekt: Gruppen → IFS_<Projekt-Name> anklicken

IFS_Projekt-Name Gruppe im Projekt auswählen


2. In der Gruppe: Bearbeiten → Gruppenmitglieder: Bearbeiten

Gruppe bearbeiten

Gruppenmitglieder bearbeiten

4. Kennung eingeben → hinzufügen → Übernehmen

Kennung hinzufügen

Änderungen übernehmen

5. Speichern

Änderungen speichern

Login in die LRZ-vSphere

Der vSphere Client wird über die LRZ-vSphere Startseite aufgerufen.

Durch Eingabe der Kennung in einem speziellen Format kann die Art der Authentifizierung spezifisch festgelegt werden.

Ohne Angabe der Domain erfolgt die Authentifizierung über die Standard-Identitätsquelle.

KennungsformatAlternative SchreibweisenIdentitätsquelle
di72buy
LRZ-SIM
di72buy@simdi72buy@sim.lrz.de
sim\di72buy
LRZ-SIM