一、用户管理

点击页面左侧菜单,展开“用户”项目,然后点击“用户管理”,即可打开用户管理页面。

web-users

1.1 创建用户

在你安装teleport服务端并进行初始化配置时,系统会自动创建一个管理员用户,所以默认情况下能查看此管理员用户。

点击页面右上方的“创建用户”按钮,然后在弹出的对话框中填写相关内容:

  • 角色:决定用户的基本权限(可以在“系统-角色管理”中创建或者编辑角色的权限);
  • 账号:此用户登录teleport系统的用户名;
  • email:用户的邮箱,如果设置了邮箱,且系统配置了邮件服务,则可以通过邮箱找回密码;
  • 认证方式:用户登录teleport系统的认证方式,默认使用系统设置,可以在这里为用户单独指定。

web-users-create

与分组的概念不同,一个用户只能有一个角色。角色控制了此用户的基本权限。系统默认设置了三个角色:管理员、运维人员和审计人员。如果某个用户的权限不在此列,例如你希望某个用户既能做运维,又能查看审计数据,那么你需要在“系统-角色管理”中创建一个新的角色,并为此新的角色设定相应的权限,然后为此用户应用此新的角色。

1.2 批量导入用户

批量导入用户的操作与批量导入主机和账号的操作很相似,此处不再赘述。

需要注意的是,批量导入的用户是未设定角色的,导入之后,需要为这些用户设定角色。可以使用“批量设置角色”功能快速设置。

二、用户分组管理

用户分组主要用于后续的运维授权和审计授权,一个用户可以属于多个不同的用户组,灵活地使用用户分组,可以大大提高授权管理的效率,具体可以参考“资产管理-分组最佳实践”章节。

特别注意:teleport系统使用最小权限判定规则,也即,在检查权限时,会按用户所具有的最小权限进行判断。例如:某个用户设定的角色没有远程主机运维权限,那么即使此用户或者此用户所在的用户组被授权访问某远程主机,该用户也无法连接到该远程主机(实际上该用户因为没有远程主机运维权限,就不会为其显示远程运维界面)。