zenoss Core 用户权限管理的实现（UserRoles.zenpack）

公告：【5月博客评选】欢迎提交本月原创作品

mura的监控之家

mura.blog.chinaunix.net

mura的监控记事本

首页 | 博文目录 | 相册 | 博客圈 | 关于我 | 留言

个人资料

小猪兵兵

微博论坛

发纸条打招呼加关注加好友

博客访问：24296
博文数量：24
博客积分：1683
博客等级：上尉
关注人气： 3
注册时间：2008-12-09 10:07:19

文章分类

订阅我的博客

字体大小：大中小博文

zenoss Core 用户权限管理的实现（UserRoles.zenpack） (2012-02-22 14:22)

标签: Zenoss Role 管理权限分类： zenoss 4 研究

Zenoss Core管理权限相对比较简单，只有ZenUser，ZenManager，Manager三个角色。Manager为超级管理员角色。ZenManager为一般性管理员角色。而ZenUser为一般访问角色。三个角色都可以遍访所有设备。因此，Zenoss Core版本不能做到基本不同用户分配不同设备管理（查看与调整）的功能，不能说这是Zenoss Core版本的一大缺陷（企业版本支持）。

但实际上，Zenoss在设计中，支持利用Administered Objects（以下简称AO）设定某一对象（设备或组织）的访问权限。因此，只需要提供更为丰富的角色权限，即可以实现用户分类管理的功能。

Skills1st公司提供了简单的USerRole Zenpack，该Zenpack的具体功能如下：

Create a new role, ZenOperator, that has the normal ZenUser permissions plus "Manage Events" which lets a user Ack / Close events
Create a new role, ZenCommon, with very minimal permissions
For those devices / device organizers that are allocated as Administered Objects to a user, devices can be viewed, their events can be Ack'ed / Closed, performance graphs are available and Locations will appear on the Dashboard GoogleMaps portlet.
Conversely, users ONLY see what are allocated to them as Administerd Objects
I have included a utility I found on the wiki (I think from cluther???) - copyDashboardState.py - that copies a model dashboard to other users - it's in the lib directory.
Fixes various bugs to do with Administered Objects so that Locations, Groups Systems and Device Classes can be allocated / removed successfully as Administered Objects

接下来，我们来安装这个Zenpack（该Zenapck支持3.X和4.X版本）

# su - zenoss

$ wget -c http://community.zenoss.org/servlet/JiveServlet/download/60516-5544/ZenPacks.skills1st.UserRoles.tar

将下载的文件复制到zenoss的主目录中，并将修改所有权限。

$ cp ZenPacks.skills1st.UserRoles.tar $ZENHOME/

$ cd $ZENHOME

解压Tar包。

$ tar xvf ZenPacks.skills1st.UserRoles.tar

利用Link方式将Zenapck安装

$ zenpack --link --install ZenPacks.skills1st.UserRoles

重启Zope和Zenhub进程

$ zenhub restart

$ zopectl restart

UserRole的Zenpack已经安装好了。官方提示通过浏览<your zenoss>:8080/zport/manage_access查看两个角色是否安装完毕，当然，你可以通过ADVANCED中的用户查看是否安装了这两个包角色。

简单的测试权限管理的应用:

首先，在Zenoss中创建一个帐号，并分配给ZenCommon角色（ZenCommon是最小的访问权限，只登录界面，没有访问任何对象的权限）

在用户的管理界面中，提供了AO的定制，我们可以通过这里AO，分配给指定的对象相对应的角色。（ZenUser是用户访问角色；ZenOpertor在ZenUser的基础上管理事件。ZenManager可以基于对象进行管理近操作）。

AO的操作即可以对于具体的用户，也可以应用于一个用户组，在用户管理界面中，可以添加用户组。（由于Zenapck仍处于Beta，因此，比较建议利用用户组进行管理，一但某些AO操作无效的话，删除这一组即可。）

如果使用用户组定义AO，哪么，最后只需要将用户指定到该组即可。

我的测试实例。建立一个winmin用户，管理Windows服务器。在AO设定上，我利用了Windows的组进行限定。

图1：用户与组的定义

图2：组中AO的设定

图3：使用winmin用户登录，测试结果。

博客推荐文章

zenoss的安装 (2011-06-30 10:54:40)
zenoss分布式部署 (2011-07-04 08:54:41)
通过zenbatchload批量添加设备到zenoss监控 (2011-06-22 11:20:51)
使用 zenoss监控POSTGRESQL和MySQL问题的解决 (2011-01-18 12:12:38)
Zenoss下实现扩展功能apache访问数量 (2011-08-17 09:03:57)

分享到：新浪微博 QQ空间开心网豆瓣人人网 twitter fb

0
顶

热门产品推荐

阅读(210)┊ 评论 (5)┊收藏(0)┊举报┊打印

前一篇：zenoss 4 研究公告

[发评论] 评论重要提示：警惕虚假中奖信息!

小猪兵兵 2012-03-09 15:31

meishao2002: 昨天咨询了ZENOSS的技术支持，原来在设置ROLE的时候不要选中任何一项，就能实现分组，分用户的管理，功能还是很强大的。就是设置麻烦了点。
我给你发私信了，你.....
是的，Zenoss的对象管理结构是可以分类和分组织管理的。只是ZenUser的默认权限是所有设备可读。
因此，只需要创建一个不可读的权限做为基础，再通过AO进行设定策略即可。而这个插件中的ZenCommon就是这个功能。当然，由于3.0以4.0之后，事件管理部分重写定义了，所以，这方面还是有所欠缺的。
PS：我没有收到你的私信，是在CU中吗？

meishao2002 2012-03-07 18:12

昨天咨询了ZENOSS的技术支持，原来在设置ROLE的时候不要选中任何一项，就能实现分组，分用户的管理，功能还是很强大的。就是设置麻烦了点。
我给你发私信了，你看了吗？想和你交流一下ZENOSS

小猪兵兵 2012-03-06 17:09

meishao2002: 虽然能实现只查看能够管理的设备,你看看EVENT CONSOLE,所有设备的事件信息仍然能够看到.........
是的，看来Zenoss Core的用户权限部分，任重而道远呀~

meishao2002 2012-03-05 17:54

虽然能实现只查看能够管理的设备,你看看EVENT CONSOLE,所有设备的事件信息仍然能够看到....

哇哦哇 2012-02-25 07:15

Zenoss Core管理权限相对比较简单

亲，您还没有登录,请[登录]或[注册]后再进行评论