ovirt笔记:基于ovirt4.0的虚拟资源管理的权限分析

最新推荐文章于 2021-08-10 17:01:13 发布
最新推荐文章于 2021-08-10 17:01:13 发布
阅读量248 收藏 2
点赞数 1
文章标签: 运维 数据库
原文链接:https://segmentfault.com/a/1190000016361476
版权

前言

虚拟资源管理平台是在ovirt4.0的基础上开发的,从原有的一个admin用户扩展成三个管理员用户和普通用户,下面简单分析一下其实现权限管理的原理。

数据库表

主要包括三张表:roles(角色表)、roles_group(角色与操作组关系表)、permissions(权限表)
角色RoleType有五种:SystemAdmin、SecurityAdmin、AuditAdmin、UserRole、QuotaConsumer

  • roles

clipboard.png

  • roles_group角色与操作组关系表(操作组id就是actionGroup中的id,也就是动作组的id,)

clipboard.png

  • permissions权限信息表(也相当于角色和用户的关联表,表示某个用户拥有对某个操作对象的权限,操作对香指存储,虚拟机,模板等对象)

clipboard.png

定义操作:

通过VdcActionType进行操作自定义,通过枚举设置操作与操作组的从属关系,而ActionGroup是定义操作组(或者说动作组)
比如瘦客thinClient作为一个操作组,则其包括好多种操作,比如登录VdcLogin和退出VdcLogout等等

// VdcLogin
    VdcLogin(5003, ActionGroup.THINCLIENT, QuotaDependency.NONE),
    VdcLogout(5004, ActionGroup.THINCLIENT, QuotaDependency.NONE),

clipboard.png

  • 通过00500_insert_roles.sql初始化角色权限

clipboard.png

  • 权限验证事务:系统中所有操作Command都提供getPermissionCheckSubjects方法,用来定义执行操作的权限列表

clipboard.png
permissionList权限列表中,包含权限对象PermissionSubject,权限对象的属性如下:

clipboard.png

  • 在系统的各种command的执行时,会检测权限,每个操作Command执行,必须定义操作权限列表,否则会直接提示没有操作权限:

clipboard.png

  • 最终通过存储过程进行权限查询get_entity_permissions

clipboard.png
clipboard.png

clipboard.png

满足权限的条件判断(1,2必须满足,3,4,5满足其中一个)

  1. 系统登录用户系统登录用户(user_id) 所属的 角色(role),必须与 操作组(action_group_id) 在 roles_groups 表中有对应关系

role_id IN( SELECT role_id FROM roles_groups WHERE action_group_id = v_action_group_id)
2.必须拥有需要删除的虚拟机的权限( 或者 所属群集、数据中心的权限。有待探讨)
AND (object_id IN(SELECT id FROM fn_get_entity_parents(v_object_id,v_object_type_id)))
3.功能分配了everyone权限
v_everyone_object_id := getGlobalIds('everyone');
ad_element_id = v_everyone_object_id
4.功能分配了该登录用户的权限
ad_element_id = v_user_id
5.功能分配了该登录用户所属用户组的权限
ad_element_id IN(SELECT * FROM getUserAndGroupsById(v_user_id)

权限的增加和删除:

通过 AddPermissionCommand操作添加权限
clipboard.png
通过RemovePermissionCommand的paramPermission操作删除权限,根据权限ID删除
getDbFacade().getPermissionDao().remove(perms.getId());

weixin_34195142
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oVirt添加内部域用户并分配权限
weixin_44048054的博客
05-21 433
oVirt添加内部域用户并分配权限 添加用户到内部域(internal) 首先ssh登录到engine上; 使用ovirt-aaa-jdbc-tool工具添加用户test1,配置姓名属性: ovirt-aaa-jdbc-tool user add test1 --attribute=firstName=San --attribute=lastName=Zhang 为用户test1设置密码和密码有效期: ovirt-aaa-jdbc-tool user password-reset test1 --passw
oVirt二次开发】管理员页面添加本地用户
li_jiejun的专栏
03-12 1279
需求: 在没有AD域的时候,能够直接在管理员页面上进行添加本地用户,并能对本地用户进行编辑(用户名,密码等),删除操作; 社区的做法: 提供命令行在服务器后台上进行手动敲命令来添加,相关链接-oVirt本地用户管理; 缺陷: 对客户要求比较高,增加客户的维护程度; 改进设计: 能够在管理员页面上操作本地用户,进行添加,编辑,删除等操作; 支持用户的单...
ovirt简介
Jian Sun_的博客
03-01 9771
简介 oVirt是一种开源分布式虚拟化解决方案,旨在管理整个企业基础架构。 oVirt使用受信任的KVM管理程序,并基于其他几个社区项目构建,包括libvirt,Gluster,PatternFly和Ansible。 功能 为管理员和非管理员用户提供丰富的基于Web的用户界面 主机,存储和网络配置的集成管理 在主机和存储之间实时迁移虚拟机和磁盘 主机发生故障时虚拟机的高可用性 架构 (1...
oVirt四问
kepa520的博客
01-09 1023
原文地址:http://www.wtoutiao.com/p/eeaAog.html 1 oVirt可以在生产环境使用吗? 放心大胆的使用吧,oVirt只是一个管理工具,即使出问题了,不影响虚拟机的正常运行,对正在运行的业务是没有影响的。 从我个人测试使用的这段时间看,小问题不断,但是没有碰到大问题,在模拟所以宿主机同时断电等极端情况,模拟交换机故障,模拟存储故障的情况下,均
虚拟化——ovirt账号被禁用或者被锁住的解决方式
前方一片光明
03-13 6281
问题 如下图所示,登陆ovirt的时候,用户账户过期、禁用、锁住的情况 解决 首先看一下账户信息:ovirt-aaa-jdbc-tool user show admin 由以上信息可知,admin账户被锁住了,那么就需要解锁了: ovirt-aaa-jdbc-tool user unlock admin ...
vagrant-ovirt4:Vagrant的oVirt v4提供程序
02-06
Vagrant oVirt v4提供程序这是一个 1.1+插件,添加了并允许Vagrant在oVirt中控制和配置计算机。安装$ vagrant plugin install vagrant-ovirt4$ vagrant up --provider=ovirt4用法先决条件组态用户“无业游民” 密码...
terraform-provider-ovirtoVirt 4.x的Terraform提供程序
02-03
该插件允许Terraform与oVirt虚拟机管理平台一起使用。 它需要oVirt4.x。 陈述 首先,这个项目是受启发的,作者肯定做了出色的工作,并非常感谢他。 在过去的五个月中,上游项目没有得到积极维护,我提交的请求请求...
ovirt-web-ui:标准(非管理员)oVirt 用户的现代轻量级 UI
07-23
oVirt虚拟机门户 VM Portal 是 oVirt 的现代轻量级 UI,允许 oVirt 用户创建、启动、停止和使用虚拟机。 安装 当您时,VM Portal 会自动。 安装 oVirt 后,导航到 https://[ENGINE_FQDN]/ovirt-engine 并单击 VM ...
ovirt_exporter:oVirt引擎指标导出器,可与https一起使用
03-21
ovirt_exporter只是为上游源构建二进制发行版,而发行版仅包含在我们的RPM构建管道中。
ovirt-ansible:此存储库拥有与oVirt相关的所有Ansible角色
02-01
ovirt-ansible:此存储库拥有与oVirt相关的所有Ansible角色
ovirt客户端,ovirt client
07-13
oVirt客户端可以支持oVirt 3.4、3.5、3.6和oVirt4.0、4.1、4.2
oVirt集群管理技术指南
02-14 2286
硬件要求 oVirt Engine最低要求 双核4G,建议4核16G oVirt Node需要部署业务虚拟机(至少2台,1台windows的中控,1台linux的镜像节点)   安装oVirt Engine 安装centos 7.5: 参看:https://blog.csdn.net/aptx689/article/details/82803287 安装源:http://mirr...
oVirt管理手册(一) 概述
Steven的博客
06-12 5686
概述oVirt架构一个oVirt环境由下列部分组成: 基于KVM(the Kernel-based Virtual Machine)的虚拟主机(Virtual machine hosts); 用于运行虚拟主机的代理和工具(Agents and tools),包括:VDSM, QEMU, 和 libvirt。这些工具为虚拟主机,网络和存储提供本地管理; oVirt是一个为oVirt环境进行集中管理的平
ovirt添加域与用户
kepa520的博客
12-14 4810
Directory Users Directory Services Support in oVirt During installation oVirt creates its own internal administration user, admin. This account is intended for use when initially configuring
linux编译加入用户管理,在oVirt和RHEV上创建和管理用户帐户的方法
weixin_32487647的博客
05-10 230
你是否有正在运行的oVirt或RHEV平台,本文为你讲解如何向其添加用户帐户,将介绍如何在oVirt和RHEV上添加和管理用户帐户的几个示例。oVirt简介oVirt是一个开源的完整虚拟化管理平台,由Red Hat作为社区项目创建,oVirt建立在功能强大的基于内核的虚拟机(KVM管理程序,参考在RHEL 8系统上安装KVM的方法)和RHEV-M管理服务器上。oVirt中包含的内容:为管理员和非管...
该服务器未获得角色信息,服务器管理器没有角色
weixin_35056641的博客
08-10 1496
服务器管理器没有角色 内容精选换一换oVirt Engine是运行在基于JBoss的Java应用程序。该服务与主机上的VDSM进行通信,以部署、启动、停止、迁移和监控VM,并且还可以通过模板在存储上创建新的镜像。oVirt Engine以可扩展性、安全性、高性能为基础的架构技术,为大规模服务器和桌面虚拟化提供集中式管理。oVirt提供的具体功能如下:虚拟机生命周期管理网络管GAUSS-03392:...
服务器虚拟机还原,还原虚拟机_oVirt4.3免费开源服务器虚拟化视频教程(包含vProtect、超融合部署)_虚拟化视频-51CTO学堂...
weixin_29735819的博客
08-10 338
oVirt是一款免费开源虚拟化软件,是RedHat商业版本虚拟化软件RHEV的开源版本。oVirt基于kvm,并整合很多优秀的开源软件,oVirt的定位是替代vmware vsphere,oVirt目前已经成为了企业虚拟化环境可选的解决方案,它在企业私有云建设中具备部署和维护使用简单的优势。oVirt的功能包括:为管理员和普通用户提供了WEB门户;支持多数据中心、多集群管理;FC-SAN/IP-S...
虚拟化平台ovirt
最新发布
07-28
3. Data Center:用于组织和管理物理和虚拟资源的逻辑集合。 4. Storage Domain:用于存储虚拟机磁盘镜像和快照的存储域。 5. Cluster:用于组织和管理物理机的逻辑集合,可提供负载均衡和高可用性。 6. Virtual ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值