Rundeckで参照権限追加（readonly,gest)

投稿の目的

Rundeckで、アプリ開発者様に参照権限を追加する。
既に本番稼動しているRundeckを停止しないで、追加できることを目指す。

背景

Rundeckインストール直後はadmin権限しかない。
危険かつ責任所在が不明確になるので、参照権限がないと後々面倒。

手順

1./etc/realm.propertiesにユーザ追加(guests)

admin定義の直下あたりに追加すると良い。

/etc/realm.properties

guests:guests,user

この状態でもログインできるが、見れるプロジェクトが無い。

2.guests権限を定義する。

2-1.定義ファイル雛形を作る。(adminのコピー)

# cp admin.aclpolicy guests.aclpolicy

2-2.guest.aclpolicyを編集

ポイントは「参照権限」と書いている行と「username:」でgusetを指定している部分

guests.aclpolicy

description: Project settings for guest user.
context:
  project: 'XXXX_Test' # XXXX_Testは、参照権限を付与したいプロジェクト
for:
  resource:
    - allow: [read] # allow read/create all kinds 参照権限
  adhoc:
    - allow: [read] # allow read/running/killing adhoc jobs　参照権限
  job:
    - allow: [read] # allow read/write/delete/run/kill of all jobs参照権限
  node:
    - allow: [read] # allow read/run for all nodes参照権限
by:
  username: guests

---

description: Rundeck settings for guest user.
context:
  application: 'rundeck'
for:
  resource:
    - allow: '*' # allow create of projects
  project:
    - allow: '*' # allow view/admin of all projects
  project_acl:
    - allow: '*' # allow admin of all project-level ACL policies
  storage:
    - allow: '*' # allow read/create/update/delete for all /keys/* storage content
by:
  username: guests

2-3.ログインして確認

プロジェクトが見えるようになりました。

ジョブを選択しても右上に緑色「Run Job Now」のボタンがありません。成功です!!

実行権限のあるユーザでログインしなおすと緑色「Run Job Now」のボタンが表示されます。

結びに代えて

より良い方法ございましたらご教示願います。