跳到主要内容
版本:FCP 25.02

外置用户认证系统

外置用户认证下,登录控制通过锁定实现。当部署选择对接外置认证系统时,可以设置同步过来的用户默认值为锁定还是正常,默认值为允许。

  • 当设置为正常时,则默认同步的所有用户状态为正常,可以直接登录fastone平台。
  • 当设置为锁定时,则默认同步的所有用户状态为锁定,默认不能登录fastone平台,管理员可以给用户修改为正常之后才可以登录。

登录验证流程

当外置用户登录平台时

  • 首先判断该用户(不区分大小写)是否在外置用户认证系统上存在,如果不存在,则登录失败,并提示”登录失败,请检查用户名密码是否正确“;
  • 如果存在,则判断外置用户密码是否正确,如果错误,则登录失败,并提示”登录失败,请检查用户名密码是否正确“
  • 如果密码正确,则判断该用户是否在fastone平台的用户管理中存在
    • 如果存在,则再次判断此用户在fastone平台上是否被锁定,如果被锁定,则登录失败,并提示”登录失败,请检查用户名密码是否正确“;如果没被锁定,则判断该用户的用户角色
      1. 普通用户,则登录成功,并显示普通用户界面
      2. 管理员,则登录成功,则显示管理员界面
    • 如果不存在,则平台同步此用户,并判断同步过来的用户默认策略
      1. 如果为锁定状态,则登录失败,并提示”登录失败,请检查用户名密码是否正确“
      2. 如果为正常状态,则登录成功,显示普通用户界面(同步过来的用户默认为普通用户)

用户管理

用户管理会定期同步外置用户认证系统上的新增的用户和用户所属组信息,定期同步时,如果外置认证系统上删除了用户,平台上的用户管理中仍然保留已经删除的用户,但被删除用户无法登陆平台。如果此用户在平台内存在关联资源,这些关联资源将只能由管理员或同级别权限的用户释放, 例如集群、任务、文件、包年包月机器。

  • 数据定时同步时间
    外置认证系统的定时同步时间在初始部署时进行设置, 定时同步时间,请到用户认证配置中查看

  • 用户分类
    平台分为deploy环境配置管理员、admin超级管理员、其他用户三类用户。

    • deploy用户为环境配置管理员,拥有平台所有参数的配置权限具体能够配置的参数见环境配置介绍
    • admin用户为超级管理员,拥有平台中所有的权限,不能删除。
    • 其他用户,定时同步,并由admin用户分配相关权限。同步过来的用户默认加入defaultGroup组,defaultGroup组功能和内置LDAP相同,用来做普通用户的默认权限控制。

  • 字段说明

    • UID:外置认证系统上的用户UID
    • 姓名:默认值和用户名相同,支持管理员修改,支持普通用户自己修改
    • 用户名:外置认证系统上的用户名,不支持修改
    • 手机号:默认值为空,支持管理员修改
    • 登录Shell:默认值为-,不支持修改
    • 用户目录:默认值为-,不支持修改
    • 状态:如果部署时设置的默认值为锁定,则默认状态为锁定;如果部署时设置的默认值为允许,则默认状态为正常,支持管理员修改;并在状态上展示正常或者锁定的原因
    • 邮箱:默认值为空,支持管理员修改,支持普通用户自己修改
    • 角色:默认值为空,支持修改
    • 用户组:外置认证系统上的用户组,并增加defaultGroup组,不支持修改
    • 用户主组:外置认证系统上的主组
    • 指定UID:外置认证系统上的UID

  • 状态说明

    • 如果用户同步时,发现外置用户认证系统上删除了用户,则用户状态自动置为锁定,且被删除的用户不能被编辑
    • 如果为锁定状态,在锁定状态上显示锁定的原因,原因有外置用户认证系统上用户被删除导致的锁定,或者由于默认设置的状态为锁定,或者由于管理员手动设置的锁定
    • 如果为正常状态,在正常状态上显示正常的原因,原因有默认设置的状态为正常,或者是由于管理员手动设置的正常状态

  • 操作

    • 编辑:支持管理员编辑,支持编辑姓名、手机号、邮箱,普通用户支持编辑自己的邮箱
    • 删除:不支持删除用户
    • 添加:不支持添加用户组管理

用户组

定期同步组信息:组GID、组名、组成员,如果外置认证系统上有新增的组,则fastone平台同步新增组,如果外置认证系统上删除了组,fastone也删除外置认证系统上已经删除的组

  • 字段说明

    • GID:外置认证系统上组的GID
    • 组名:外置认证系统上的组名
    • 描述:默认值为空
    • 组成员:外置认证系统上该组中所拥有的组成员
    • 企业微信:默认值为空
    • 飞书:默认值为空

  • 操作

    • 添加:不支持添加组
    • 删除:不支持删除组
    • 编辑:支持编辑组,支持编辑描述、添加企业微信、添加飞书,不支持编辑GID、组名、组成员

角色管理

角色管理的功能是通过为用户和用户组分配不同的角色及其权限,从而实现对系统资源的有效访问控制和管理。

  • 字段说明

    • 名称:角色名称
    • 权限:该角色拥有的权限,每个功能的权限请查看权限说明文档
    • 描述:针对该角色的描述,用户或者组添加角色时,会展示此描述

  • 操作:

    • 编辑:上述字段均可编辑
    • 删除:删除角色后,所有与该角色关联的用户和用户组的权限也会被一并删除