Eucalyptus 4.4.4 Eucaconsole Немедленный выход из системы всех учетных данных

Question

У меня новая установка Eucalyptus и новая установка Eucaconsole. Я создал пользователей с назначенными профилями входа и паролями и проверил их как не истекшие и не разрешенные.

Независимо от того, с какой учетной записью / пользователем / паролем я захожу в консоль с ( даже недействительными учетными записями ), меня доставляют на страницу сброса пароля. Сброс пароля, кажется, работает, но когда я затем нажимаю на любую другую часть консоли или кнопку генерации ключей, я выхожу из системы, и вся проблема начинается снова. Вновь измененный пароль предлагается изменить снова. Я не вижу ошибок в моих журналах. Я вижу это в eucaconsole_nginx_access.log каждый раз, когда это происходит.

10.0.0.7 - - [09/Nov/2018:13:14:58 -0500] "POST /login? 
login_type=Eucalyptus HTTP/1.1" 302 256 "https://cloud/" "Mozilla/5.0 
(Macintosh; Intel Mac OS X 10.14; rv:63.0) Gecko/20100101 Firefox/63.0"

10.0.0.7 - - [09/Nov/2018:13:14:58 -0500] "GET /managecredentials? 
came_from=&expired=true&account=console&username=admin HTTP/1.1" 200 
4447 "https://cloud/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; 
rv:63.0) Gecko/20100101 Firefox/63.0"

10.0.0.7 - - [09/Nov/2018:13:14:59 -0500] "GET 
/static/4.4.4/html/help/console_manage_credentials.html HTTP/1.1" 304 0 
"https://cloud/managecredentials? 
came_from=&expired=true&account=console&username=admin" "Mozilla/5.0 
(Macintosh; Intel Mac OS X 10.14; rv:63.0) Gecko/20100101 Firefox/63.0"

Я пропустил важный элемент в моей настройке или это какая-то ошибка. Тот факт, что это происходит даже с недействительными учетными данными и несуществующими пользователями, является интересной деталью, но я не смог понять это полезным способом.

ЗАКЛЮЧИТЕЛЬНО: Я отказался от этого и восстановил после выпуска 4.4.5, и все работает.

Answer 1

В ответ на ответ Стива, это то, что я делаю для группы администраторов учетной записи. Сохраните файл как admin-policy.json

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "*",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Затем импортируйте политику для группы. Например, моя учетная группа isp-services, а моя группа администраторов isp-services-admins. Убедитесь, что ваш пользователь это часть группы.

euare-groupuploadpolicy --as-account "isp-services" -g isp-services-admins -p AccountAdminAccessPolicy-isp-services-admins -f admin-policy.json

Answer 2

Для admin пользователей в учетной записи установка пароля (например, euare-usermodloginprofile или euare-useraddloginprofile) должна быть достаточной для обеспечения доступа к консоли.

Когда вы добавляете не-1006 * пользователей в учетную запись, у них не будет разрешения выполнять какие-либо действия, пока вы не предоставите доступ через политику iam. С помощью консоли вы можете получить доступ к данным для пользователя и использовать ADD ACCESS POLICY в GENERAL / PERMISSIONS. Вы можете выбрать предопределенную политику, такую ​​как User access или Monitor access, чтобы начать.

http://docs.eucalyptus.cloud/eucalyptus/4.4.4/index.html#shared/console_user_detail_general.html