Eucalyptus 4.4.4 Eucaconsole Немедленный выход из всех учетных данных

У меня новая установка Eucalyptus и новая установка Eucaconsole. Я создал пользователей с назначенными профилями входа и паролями и проверил их как не просроченные и включенные.

Независимо от того, с какой учетной записью/пользователем/паролем я вхожу в консоль (даже с недействительными учетными записями), я попадаю на страницу сброса пароля. Сброс пароля работает, но когда я затем нажимаю на любую другую часть консоли или кнопку генерации ключей, я выхожу из системы, и вся проблема начинается снова. Только что измененный пароль предлагается изменить еще раз. Я нигде не вижу ошибок в своих журналах. Я вижу это в eucaconsole_nginx_access.log каждый раз, когда это происходит.

10.0.0.7 - - [09/Nov/2018:13:14:58 -0500] "POST /login? 
login_type=Eucalyptus HTTP/1.1" 302 256 "https://cloud/" "Mozilla/5.0 
(Macintosh; Intel Mac OS X 10.14; rv:63.0) Gecko/20100101 Firefox/63.0"

10.0.0.7 - - [09/Nov/2018:13:14:58 -0500] "GET /managecredentials? 
came_from=&expired=true&account=console&username=admin HTTP/1.1" 200 
4447 "https://cloud/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; 
rv:63.0) Gecko/20100101 Firefox/63.0"

10.0.0.7 - - [09/Nov/2018:13:14:59 -0500] "GET 
/static/4.4.4/html/help/console_manage_credentials.html HTTP/1.1" 304 0 
"https://cloud/managecredentials? 
came_from=&expired=true&account=console&username=admin" "Mozilla/5.0 
(Macintosh; Intel Mac OS X 10.14; rv:63.0) Gecko/20100101 Firefox/63.0"

Я пропустил важную часть в моей настройке или это какая-то ошибка. Тот факт, что это происходит даже для недействительных учетных данных и бессмысленных пользователей, которых не существует, является интересной деталью, но я не смог разобраться в этом полезным способом.

FINAL: я забросил это и пересобрал после релиза 4.4.5 и все работает.


eucalyptus
person D N    schedule 09.11.2018    source источник

Ответы (2)


arrow_upward
0
arrow_downward

Для admin пользователей в учетной записи достаточно установить пароль (например, euare-usermodloginprofile или euare-useraddloginprofile), чтобы разрешить доступ к консоли.

Когда вы добавляете пользователей, не являющихся admin, в учетную запись, у них не будет разрешения на выполнение каких-либо действий, пока вы не предоставите доступ через политику iam. С помощью консоли вы можете получить доступ к сведениям о пользователе и использовать ADD ACCESS POLICY под GENERAL / PERMISSIONS. Вы можете выбрать предопределенную политику, такую ​​как User access или Monitor access, чтобы начать.

http://docs.eucalyptus.cloud/eucalyptus/4.4.4/index.html#shared/console_user_detail_general.html

person Steve Jones    schedule 09.11.2018
comment
euare-useraddloginprofile: error (EntityAlreadyExists): User admin already has a login profile Я также получаю эти ошибки в cloud-requests.log, которые, я думаю, совпадают с этими неудачными попытками входа в консоль simpleworkflow SimpleWorkflowErrorResponse [400 WorkflowExecutionAlreadyStartedFault] - person D N; 12.11.2018
comment
Ожидается, что вы увидите отказ от euare-useraddloginprofile, если у пользователя уже есть профиль входа в систему, в этом случае вы должны использовать euare-usermodloginprofile, поэтому я упомянул обе команды. Любые ошибки из simpleworkflow не связаны напрямую с проблемой входа в консоль. Похоже, у вас сейчас общая проблема, когда ни один пользователь не может войти в систему, а не ошибка только с некоторыми пользователями. Если это так, то основные элементы, которые необходимо проверить, это то, что службы работают euserv-describe-services, что все системы имеют правильное время/дату. - person Steve Jones; 13.11.2018

arrow_upward
0
arrow_downward

В дополнение к ответу Стива, это то, что я делаю для группы администраторов учетной записи. Сохраните файл как admin-policy.json.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "*",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Затем импортируйте политику для группы. Например, моя учетная группа — ISP-Services, а моя группа администраторов — ISP-Services-Admins. Убедитесь, что ваш пользователь входит в группу.

euare-groupuploadpolicy --as-account "isp-services" -g isp-services-admins -p AccountAdminAccessPolicy-isp-services-admins -f admin-policy.json
person Nunes    schedule 12.11.2018
comment
Я думаю, что оба ответа могут быть слишком далеко впереди того, где моя проблема оставляет меня. Пользователь с правами администратора в любой учетной записи уже имеет эти профили безопасности по умолчанию, и ему нужно только назначить профиль входа в систему в соответствии с документами: docs.eucalyptus.cloud/eucalyptus/4.4.4/index.html#shared/ - person D N; 12.11.2018
comment
Я чувствую, что некоторые детали поведения консоли, которые я отметил, игнорируются. Например, должен ли я ожидать, что даже несуществующие и известные недействительные пользователи и неверные пароли будут запрашивать смену пароля? Я ввожу бессмысленную информацию во все поля и получаю запрос на смену пароля. Это поведение, которое я наблюдаю и у пользователей-администраторов моей учетной записи, говорит мне, что консоль не работает должным образом. - person D N; 12.11.2018