Eucalyptus 4.4.4 Eucaconsole立即注销所有凭据

时间:2018-11-09 18:52:51

标签: eucalyptus

我有一个新的Eucalyptus安装和一个新的Eucaconsole安装。我已经创建了分配了登录配置文件和密码的用户,并验证了它们是否未过期和启用。

无论我使用什么帐户/用户/密码(甚至无效的帐户)登录控制台,我都会进入密码重设页面。密码重置似乎可以正常工作,但是当我单击控制台的任何其他部分或“生成密钥”按钮时,我已经注销,整个问题再次出现。要求再次更改新更改的密码。我在日志中无处发现错误。每当发生这种情况时,我都会在eucaconsole_nginx_access.log中看到它。

10.0.0.7 - - [09/Nov/2018:13:14:58 -0500] "POST /login? 
login_type=Eucalyptus HTTP/1.1" 302 256 "https://cloud/" "Mozilla/5.0 
(Macintosh; Intel Mac OS X 10.14; rv:63.0) Gecko/20100101 Firefox/63.0"

10.0.0.7 - - [09/Nov/2018:13:14:58 -0500] "GET /managecredentials? 
came_from=&expired=true&account=console&username=admin HTTP/1.1" 200 
4447 "https://cloud/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; 
rv:63.0) Gecko/20100101 Firefox/63.0"

10.0.0.7 - - [09/Nov/2018:13:14:59 -0500] "GET 
/static/4.4.4/html/help/console_manage_credentials.html HTTP/1.1" 304 0 
"https://cloud/managecredentials? 
came_from=&expired=true&account=console&username=admin" "Mozilla/5.0 
(Macintosh; Intel Mac OS X 10.14; rv:63.0) Gecko/20100101 Firefox/63.0"

我是否错过了设置中的重要部分,或者是某种错误?即使对于无效的凭据和不存在的废话用户,它也会发生,这是一个有趣的细节,但是我无法以一种有用的方式来理解它。

最终:我放弃了此文件,并在4.4.5版本发布后对其进行了重建,一切正常。

2 个答案:

答案 0 :(得分:0)

对于帐户中的admin个用户,设置密码(例如euare-usermodloginprofileeuare-useraddloginprofile)应足以允许控制台访问。

将非admin用户添加到帐户后,他们将没有权限执行任何操作,除非您通过iam策略授予访问权限。使用控制台,您可以访问用户的详细信息,并使用ADD ACCESS POLICY / GENERAL下的PERMISSIONS。您可以选择诸如User accessMonitor access之类的预定义策略来开始使用。

http://docs.eucalyptus.cloud/eucalyptus/4.4.4/index.html#shared/console_user_detail_general.html

答案 1 :(得分:0)

Pi带史蒂夫的回应,这就是我为帐户管理组所做的工作。将文件另存为admin-policy.json

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "*",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

然后导入该组的策略。例如,我的会计组是isp-services,而我的管理员组是isp-services-admins。确保您的用户属于该组。

euare-groupuploadpolicy --as-account "isp-services" -g isp-services-admins -p AccountAdminAccessPolicy-isp-services-admins -f admin-policy.json