创建用户组

使用 user_group_create 命令可创建用户组。

user_group_create user_group=UserGroup [ access_all=<yes|no> ]   [ ldap_role=LdapRole ]
 [ domain=DomainList ]

参数

名称 类型 描述 必需 缺省值
user_group 对象名 要创建的用户组的名称。 Y 不适用
access_all 布尔 (Boolean) 允许应用程序管理员针对所有卷而不是仅部分特定卷执行其指定操作。 N
ldap_role 字符串 代表 LDAP 中用户组的值。 N [none]
domain 不适用 将 user_group 附加到指定的域。 要指定多个域,请使用逗号将其分隔。 要指定现有的所有域,请使用“*”。 N none

用户组是一组应用程序管理员,其遵循一组相同的快照创建限制。 创建用户组后,可以使用单个命令更新用户组中所有用户的限制。 这些限制通过将用户组与主机或集群关联来强制实施。

存储管理员创建用户组并控制多个应用程序管理员的许可权。 主机和集群只能与一个用户组关联。 当用户属于与主机关联的用户组时,就可以管理映射到该主机的卷的快照。

用户组具有以下限制:

  • 只用定义为应用程序管理员的用户可以被指派到组。
  • 一个用户只可属于一个用户组。
  • 一个用户组最多可以包含 8 个用户。

用户和主机关联具有以下属性:

  • 用户组可以同时与主机和集群关联。 这允许限制应用程序管理员仅访问特定特定卷。
  • 主机作为集群的一部分,同样无法与用户组关联。
  • 向集群添加主机时,主机的关联会中断。 集群的关联负责控制针对映射到主机的卷管理的限制。
  • 从集群移除主机时,此主机的关联将变为集群的关联,这可实现连续映射操作,以便所有脚本将继续运行。
应用程序管理员访问级别:
  • 仅可为应用程序管理员指定 access_all 参数。 指定此参数时,表示用户对所有卷具有应用程序管理员访问级别,可对所有卷(而不仅仅是特定卷的某个子集)执行操作。

示例:

user_group_create user_group=ug1 ldap_role="App Admin 1" access_all=yes

输出:

Command executed successfully.

访问控制

用户类别 许可权
存储管理员 允许
存储集成管理员 不允许
应用程序管理员 不允许
安全性管理员 不允许
只读用户 不允许
技术人员 不允许

返回码

  • USER_GROUP_NAME_ALREADY_EXISTS

    用户组名称已存在。

  • MAX_USER_GROUPS_REACHED

    已定义的用户组数已达到最大值。

  • LDAP_ROLE_ALREADY_USED

    此 LDAP 角色已在 LDAP 配置或用户组中使用。

  • DOMAIN_DOESNT_EXIST

    域不存在。