Am o configurație openstack victoria cloud. Folosesc politica implicită a Keystone și nu am făcut nicio modificare în această politică.
Am creat un nume de utilizator de testare testuser în openstack. I-am atribuit proiectul principal ca proiect de testare și rol de administrator. Dar când mă conectez ca testuser, pot accesa și proiectul de administrare. E ca și cum domeniul meu de aplicare nu se limitează la testproject.
Conform documentatiei
https://docs.openstack.org/keystone/latest/admin/service-api-protection.html
Administratorii de proiect pot vizualiza și modifica numai datele din cadrul proiectului pentru care au autorizație. Ei pot vedea informații despre proiectele lor și pot stabili etichete pentru proiectele lor. Nu au voie să vadă resursele de sistem sau de domeniu, deoarece aceasta ar încălca contractul de închiriere a rolului lor. Deoarece majoritatea resurselor din API-ul keystone sunt specifice sistemului și domeniului, administratorii de proiect nu au prea multă autorizație.
lista de atribuire a rolurilor openstack --names --project testproject --role admin
+-------+------------------+-------+-------------- -------+--------+--
| Rol | Utilizator | Grupa | Proiect | Domeniu | Sistem | Moștenit |
+-------+------------------+-------+-------------- -------+--------+--
| admin | testuser@Default | | testproject@Default | | | Fals |
+-------+------------------+-------+-------------- -------+--------+--
# lista de atribuire a rolurilor openstack --names --project admin
+-------+---------------+-------+---------------+- -------+--------+--
| Rol | Utilizator | Grupa | Proiect | Domeniu | Sistem | Moștenit |
+-------+---------------+-------+---------------+- -------+--------+--
| admin | admin@Default | | admin@Default | | | Fals |
+-------+---------------+-------+---------------+- -------+--------+--
Ce ar trebui să fac pentru a limita utilizatorul la domeniul de aplicare al proiectului principal alocat?
