我有一个新的Eucalyptus安装和一个新的Eucaconsole安装。我已经创建了分配了登录配置文件和密码的用户,并验证了它们是否未过期和启用。
无论我使用什么帐户/用户/密码(甚至无效的帐户)登录控制台,我都会进入密码重设页面。密码重置似乎可以正常工作,但是当我单击控制台的任何其他部分或“生成密钥”按钮时,我已经注销,整个问题再次出现。要求再次更改新更改的密码。我在日志中无处发现错误。每当发生这种情况时,我都会在eucaconsole_nginx_access.log中看到它。
10.0.0.7 - - [09/Nov/2018:13:14:58 -0500] "POST /login?
login_type=Eucalyptus HTTP/1.1" 302 256 "https://cloud/" "Mozilla/5.0
(Macintosh; Intel Mac OS X 10.14; rv:63.0) Gecko/20100101 Firefox/63.0"
10.0.0.7 - - [09/Nov/2018:13:14:58 -0500] "GET /managecredentials?
came_from=&expired=true&account=console&username=admin HTTP/1.1" 200
4447 "https://cloud/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14;
rv:63.0) Gecko/20100101 Firefox/63.0"
10.0.0.7 - - [09/Nov/2018:13:14:59 -0500] "GET
/static/4.4.4/html/help/console_manage_credentials.html HTTP/1.1" 304 0
"https://cloud/managecredentials?
came_from=&expired=true&account=console&username=admin" "Mozilla/5.0
(Macintosh; Intel Mac OS X 10.14; rv:63.0) Gecko/20100101 Firefox/63.0"
我是否错过了设置中的重要部分,或者是某种错误?即使对于无效的凭据和不存在的废话用户,它也会发生,这是一个有趣的细节,但是我无法以一种有用的方式来理解它。
最终:我放弃了此文件,并在4.4.5版本发布后对其进行了重建,一切正常。
答案 0 :(得分:0)
对于帐户中的admin个用户,设置密码(例如euare-usermodloginprofile或euare-useraddloginprofile)应足以允许控制台访问。
将非admin用户添加到帐户后,他们将没有权限执行任何操作,除非您通过iam策略授予访问权限。使用控制台,您可以访问用户的详细信息,并使用ADD ACCESS POLICY / GENERAL下的PERMISSIONS。您可以选择诸如User access或Monitor access之类的预定义策略来开始使用。
http://docs.eucalyptus.cloud/eucalyptus/4.4.4/index.html#shared/console_user_detail_general.html
答案 1 :(得分:0)
Pi带史蒂夫的回应,这就是我为帐户管理组所做的工作。将文件另存为admin-policy.json
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow"
}
]
}
然后导入该组的策略。例如,我的会计组是isp-services,而我的管理员组是isp-services-admins。确保您的用户属于该组。
euare-groupuploadpolicy --as-account "isp-services" -g isp-services-admins -p AccountAdminAccessPolicy-isp-services-admins -f admin-policy.json