投稿の目的
Rundeckで、アプリ開発者様に参照権限を追加する。
既に本番稼動しているRundeckを停止しないで、追加できることを目指す。
背景
Rundeckインストール直後はadmin権限しかない。
危険かつ責任所在が不明確になるので、参照権限がないと後々面倒。
手順
1./etc/realm.propertiesにユーザ追加(guests)
admin定義の直下あたりに追加すると良い。
/etc/realm.properties
guests:guests,user
2.guests権限を定義する。
2-1.定義ファイル雛形を作る。(adminのコピー)
# cp admin.aclpolicy guests.aclpolicy
2-2.guest.aclpolicyを編集
ポイントは「参照権限」と書いている行と「username:」でgusetを指定している部分
guests.aclpolicy
description: Project settings for guest user.
context:
project: 'XXXX_Test' # XXXX_Testは、参照権限を付与したいプロジェクト
for:
resource:
- allow: [read] # allow read/create all kinds 参照権限
adhoc:
- allow: [read] # allow read/running/killing adhoc jobs 参照権限
job:
- allow: [read] # allow read/write/delete/run/kill of all jobs参照権限
node:
- allow: [read] # allow read/run for all nodes参照権限
by:
username: guests
---
description: Rundeck settings for guest user.
context:
application: 'rundeck'
for:
resource:
- allow: '*' # allow create of projects
project:
- allow: '*' # allow view/admin of all projects
project_acl:
- allow: '*' # allow admin of all project-level ACL policies
storage:
- allow: '*' # allow read/create/update/delete for all /keys/* storage content
by:
username: guests
2-3.ログインして確認
プロジェクトが見えるようになりました。
ジョブを選択しても右上に緑色「Run Job Now」のボタンがありません。成功です!!
実行権限のあるユーザでログインしなおすと緑色「Run Job Now」のボタンが表示されます。
結びに代えて
より良い方法ございましたらご教示願います。