用户
本地用户的帐户密码的默认存储方式是将它们与一个随机字符串合并在一起,然后将合并的值进行哈希迭代,对得到的结果进行存储。哈希是一种单向算法,将一个字符串映射到一个唯一的值,以便无法从哈希中检索原始字符串。
通过网络在设备和浏览器之间传输时,使用TLS(Transport Layer Security)保护密码。
用户信息
功能说明
在“用户信息”界面中,您可以查看到系统当前登录用户的名称、登录时间、角色权限,并可以对其密码进行修改。
操作步骤
默认用户Administrator修改密码时,新密码不能与初始密码相同。
- 依次单击,进入当前登录用户管理界面。
- 单击用户信息后的“修改”。
打开用户信息修改界面。
- 按照提示信息输入新密码、密码确认及旧密码后,单击“确定”。新密码需要满足如下要求:
- 长度为8~32个字符。
- 至少包含一个空格或者以下特殊字符:
`~!@#$%^&*()-_=+\|[{}];:'",<.>/?
- 至少包含以下字符中的两种:
- 小写字母:a~z
- 大写字母:A~Z
- 数字:0~9
- 不能包含用户名或用户名倒写。
- 新旧密码至少在2个字符位上不同。
- 不能与前N次的历史密码相同,N的取值参考安全策略。
- 不能为弱密码字典中的密码。
用户权限管理
功能说明
- 系统支持多种权限角色,为用户分配不同的权限:
表7-152 用户角色及权限列表
角色
对应操作权限说明
超级管理员
具有所有权限。
只读
具备所有资源的只读权限。
设备管理员
具备所有资源类型的读权限,以及设备管理所需的相关权限(包括设备导入/删除、设备升级、设备相关配置的创建/修改/删除,以及设备相关告警信息的处理)。
固件管理员
具备所有资源类型的读权限,以及所有设备的固件升级相关权限。
作用域管理员
具备所有资源类型的读权限,以及管理作用域的相关权限(包括作用域的创建/修改/删除、添加/删除作用域中的资源)。
告警上报操作员
用于接收服务器BMC上报的告警事件,不在Web界面中显示。
镜像管理员
用于从系统私有镜像仓库中下载docker镜像文件,不在Web界面中显示。
建立管理通道管理员
用于边缘设备向系统申请建立管理通道,不在Web界面中显示。
文件传输操作员
用于系统上的文件传输,不在Web页面中显示。
- 系统当前支持的本地用户分为两类:
- 用户手动创建的用户。
- 系统自动创建的用户,不可删除,主要包括:
表7-153 系统自动创建用户
用户
对应操作权限
Administrator
默认的WebUI登录帐号,权限角色为“超级管理员”,在“用户权限管理”界面显示。
rootRedfish
REST API调用帐号,权限角色为“超级管理员”,不在“用户权限管理”界面显示。
eventAccount
IRM、iBMC事件上报到系统使用的帐号,权限角色为“告警上报操作员”,不在“用户权限管理”界面显示。
ImageRepository
从系统私有镜像仓库中下载docker镜像文件使用的帐号,不在“用户权限管理”界面显示。
EdgeAccount
边缘设备向系统申请建立管理通道使用的帐号,不在“用户权限管理”界面显示。
FileTransferAccount
从系统下载文件使用的帐号,不在“用户权限管理”界面显示。
每个用户可以拥有多种权限角色,每个角色也可以适配多个作用域。
参数说明
参数 |
说明 |
|---|---|
用户名 |
用户的名称。 |
角色 |
用户的权限角色,决定用户对系统各功能模块的使用权限。 |
作用域 |
用户的权限角色所适配的资源范围。 |
登录时间 |
用户最近一次登录系统的具体时间。 |
创建用户
系统支持的最大用户个数,以及用户名、密码需要遵循的策略请参考安全策略。
- 依次单击,进入系统的本地用户管理页面。
- 单击“创建用户”。
- 设置用户信息。表7-155 用户参数
区域
参数
说明
基本信息
用户名
用户名只能包含大小写字母和数字。
可输入的字符串长度请参考安全策略的“帐号最小长度限制”和“帐号最大长度限制”。
默认长度范围为:6~32
密码
新建用户的密码。
取值范围:
- 长度为8~32个字符。
- 至少包含一个空格或者以下特殊字符:
`~!@#$%^&*()-_=+\|[{}];:'",<.>/?
- 至少包含以下字符中的两种:
- 小写字母:a~z
- 大写字母:A~Z
- 数字:0~9
- 不能包含用户名或用户名倒写。
- 新旧密码至少在2个字符位上不同。
- 不能与前N次的历史密码相同,N的取值参考安全策略。
- 不能为弱密码字典中的密码。
密码确认
再次输入设置的密码。
角色权限
角色
用户具备的权限角色,不用角色支持不同的操作权限。
可为手动创建的用户分配的角色包括:
- 超级管理员:具有所有权限。
- 只读:具备所有资源的只读权限。
- 设备管理员:具备所有资源类型的读权限,以及设备管理所需的相关权限(包括设备导入/删除、设备升级、设备相关配置的创建/修改/删除,以及设备相关告警信息的处理)。
- 固件管理员:具备所有资源类型的读权限,以及所有设备的固件升级相关权限。
- 作用域管理员:具备所有资源类型的读权限,以及管理作用域的相关权限(包括作用域的创建/修改/删除、添加/删除作用域中的资源)。
作用域
指定角色所适配的作用范围。
作用域可在作用域管理中定义。
- 单击“确定”。
修改用户信息
- 系统自动创建的用户不可修改角色权限,仅可修改密码;手动创建的用户,可修改其密码、角色权限。
- 默认用户Administrator修改密码时,新密码不能与初始密码相同。
- 依次单击,进入系统的本地用户管理页面。
- 单击目标用户后的“修改”。
打开“修改”窗口。
- 修改用户信息。表7-156 用户参数
区域
参数
说明
基本信息
密码
密码取值范围:
- 长度为8~32个字符。
- 至少包含一个空格或者以下特殊字符:
`~!@#$%^&*()-_=+\|[{}];:'",<.>/?
- 至少包含以下字符中的两种:
- 小写字母:a~z
- 大写字母:A~Z
- 数字:0~9
- 不能包含用户名或用户名倒写。
- 新旧密码至少在2个字符位上不同。说明:
管理员修改其他用户密码时,不受“新旧密码至少在2个字符位上不同”的限制。
- 不能与前N次的历史密码相同,N的取值参考安全策略。
- 不能为弱密码字典中的密码。
密码确认
再次输入设置的密码。
角色权限
角色
用户具备的权限角色,不用角色支持不同的操作权限。
可为手动创建的用户分配的角色包括:
- 超级管理员:具有所有权限。
- 只读:具备所有资源的只读权限。
- 设备管理员:具备所有资源类型的读权限,以及设备管理所需的相关权限(包括设备导入/删除、设备升级、设备相关配置的创建/修改/删除,以及设备相关告警信息的处理)。
- 固件管理员:具备所有资源类型的读权限,以及所有设备的固件升级相关权限。
- 作用域管理员:具备所有资源类型的读权限,以及管理作用域的相关权限(包括作用域的创建/修改/删除、添加/删除作用域中的资源)。
作用域
指定角色所适配的作用范围。
作用域可在作用域管理中定义。
- 单击“确定”。
删除用户
系统自动创建的用户不可删除。
- 依次单击,进入系统的本地用户管理页面。
- 单击目标用户后的“删除”。
弹出操作确认对话框。
- 单击“确定”。
锁定/解锁用户
当需要临时禁止指定用户的登录权限时,可为其加锁。在需要为其开启登录权限时,可通过解锁方式来开放权限。
- 依次单击,进入系统的本地用户管理页面。
- 单击目标用户后的“加锁”或“解锁”。
弹出操作确认对话框。
- 单击“确定”。
创建LDAP用户组
系统最多支持4096个LDAP用户组。配置用户组之前,请开启LDAP功能并配置LDAP服务器信息。
- 依次单击,进入系统的本地用户管理页面。
- 单击“创建用户组”。
打开“创建”界面。
- 设置用户组信息。表7-157 用户组参数
区域
参数
说明
用户组信息
选择域名
新建LDAP用户组所在LDAP服务器的域名。
组名称
LDAP用户所属角色组的名称。
取值范围:最多可包含255个字节。由于不同字符占用的字节数可能不同,最多可以输入64到255个字符。
应用文件夹
和LDAP服务器下用户的组所在的组织单位名保持一致,例如“OU=department, OU=company”。
取值范围:最多可包含255个字节。由于不同字符占用的字节数可能不同,最多可以输入64到255个字符。
角色权限
角色
用户具备的权限角色,不用角色支持不同的操作权限。
可为LDAP用户组分配的角色包括:
- 超级管理员:具有所有权限。
- 只读:具备所有资源的只读权限。
- 设备管理员:具备所有资源类型的读权限,以及设备管理所需的相关权限(包括设备导入/删除、设备升级、设备相关配置的创建/修改/删除,以及设备相关告警信息的处理)。说明:
创建设备管理员时,如果需要使用资产管理相关功能(如机柜、数据中心管理、资产管理等),作用域需要选择已关联数据中心的作用域。
- 固件管理员:具备所有资源类型的读权限,以及所有设备的固件升级相关权限。
- 作用域管理员:具备所有资源类型的读权限,以及管理作用域的相关权限(包括作用域的创建/修改/删除、添加/删除作用域中的资源)。
作用域
指定角色所适配的作用范围。
作用域可在作用域管理中定义。
说明:当需要为用户设置多种角色时,可单击“添加权限”增加。
- 单击“确定”。
修改用户组信息
- 依次单击,进入系统的本地用户管理页面。
- 单击目标用户组后的“修改”。
打开“修改”窗口。
- 修改用户组信息。表7-158 用户组参数
区域
参数
说明
用户组信息
选择域名
新建LDAP用户组所在LDAP服务器的域名。
组名称
LDAP用户所属角色组的名称。
取值范围:最多可包含255个字节。由于不同字符占用的字节数可能不同,最多可以输入64到255个字符。
应用文件夹
和LDAP服务器下用户的组所在的组织单位名保持一致,例如“OU=department, OU=company”。
取值范围:最多可包含255个字节。由于不同字符占用的字节数可能不同,最多可以输入64到255个字符。
角色权限
角色
用户具备的权限角色,不用角色支持不同的操作权限。
可为LDAP用户组分配的角色包括:
- 超级管理员:具有所有权限。
- 只读:具备所有资源的只读权限。
- 设备管理员:具备所有资源类型的读权限,以及设备管理所需的相关权限(包括设备导入/删除、设备升级、设备相关配置的创建/修改/删除,以及设备相关告警信息的处理)。说明:
创建设备管理员时,如果需要使用资产管理相关功能(如机柜、数据中心管理、资产管理等),作用域需要选择已关联数据中心的作用域。
- 固件管理员:具备所有资源类型的读权限,以及所有设备的固件升级相关权限。
- 作用域管理员:具备所有资源类型的读权限,以及管理作用域的相关权限(包括作用域的创建/修改/删除、添加/删除作用域中的资源)。
作用域
指定角色所适配的作用范围。
作用域可在作用域管理中定义。
说明:当需要为用户设置多种角色时,可单击“添加权限”增加。
- 单击“确定”。
删除用户组
- 依次单击,进入系统的本地用户管理页面。
- 单击目标用户组后的“删除”。
弹出操作确认对话框。
- 单击“确定”。
作用域管理
功能描述
系统支持用户根据自己的实际需要将系统资源进行分块,定义为不同的作用域。在创建用户时,可以为其指定适配的作用域。
在“作用域管理”界面,您可以查看到系统当前存在的作用域,并提供创建、修改、删除等功能。
创建作用域
- 依次单击,进入作用域管理界面。
- 单击页面右上角的“创建”。
打开“创建”界面。
- 设置作用域的基本信息。表7-159 作用域基本信息
参数
说明
作用域名称
长度为1~32个字符,只能包含中文、字母、数字、“-”、“_”和“.”。
描述
用户自定义的作用域的描述信息。
长度为0~256个任意字符。
所属作用域
新建的作用域可归属于1个或多个已存在的作用域,作为这些作用域的一个资源。
- 为新建的作用域添加资源。
- 单击“添加”。
打开“添加资源”窗口。
- 勾选要添加到作用域的资源(可以是服务器、服务器配置、机框、机框配置、地址池、基线、规划模板、边缘配置、边缘设备、容器应用、容器镜像文件、容器资源文件、机柜、第三方服务器、或作用域),单击“确定”。
- 当可选设备过多时,可使用筛选或搜索的方式,缩小选择范围。
- 如果作用域的资源添加了机柜,机柜中所有服务器资源将会添加到该机柜所属作用域中。
- (可选)在添加的资源列表中,单击指定资源后的“删除”,可删除该资源。
如需批量删除多个资源,请在资源列表中勾选待删除的资源,然后单击右上方的“删除”。
- 单击“添加”。
- 单击“确定”。
修改作用域
- 依次单击,进入作用域管理界面。
- 单击指定作用域后的“修改”。
进入“修改”界面。
- 修改基本信息,单击基本信息后的“修改”。
弹出“修改基本信息”窗口。
表7-160 作用域基本信息参数
说明
作用域名称
长度为1~32个字符,只能包含中文、字母、数字、“-”、“_”和“.”。
描述
用户自定义的作用域的描述信息。
长度为0~256个任意字符。
所属作用域
新建的作用域可归属于1个或多个已存在的作用域,作为这些作用域的一个资源。
- 修改资源。
- 添加资源:单击“添加”,勾选需要添加的资源后单击“确定”。
- 删除资源:勾选需要删除的资源,单击右上角的“删除”。
- 通过添加机柜自动关联到作用域中的服务器不能单独删除,只能通过删除机柜删除。
- 删除机柜会自动删除该机柜中所有服务器资源。
- 修改基本信息,单击基本信息后的“修改”。
- 单击“确定”。
删除作用域
- 依次单击,进入作用域管理界面。
- 单击指定作用域后的“删除”。
弹出操作确认对话框。
当需要同时删除多个作用域时,可在勾选多个作用域后,单击页面右上角的“删除”。
- 单击“确定”。
