<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Управление доступом on </title>
    <link>/ru2/platform-admin/iam/</link>
    <description>Recent content in Управление доступом on </description>
    <generator>Hugo -- gohugo.io</generator>
    <lastBuildDate>Wed, 01 Jul 2026 19:41:08 +0300</lastBuildDate><atom:link href="/ru2/platform-admin/iam/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>С чего начать настройку доступа</title>
      <link>/ru2/platform-admin/iam/getting-started/</link>
      <pubDate>Wed, 01 Jul 2026 15:33:26 +0300</pubDate>
      
      <guid>/ru2/platform-admin/iam/getting-started/</guid>
      <description>Страница нужна администратору платформы, который после установки настраивает вход пользователей и назначение прав.
Платформа может работать с внешними источниками пользователей:
Источник Когда выбирать Где настраивать LDAP Пользователи и группы уже есть в Active Directory, OpenLDAP, FreeIPA, ALD Pro, Samba DC, MULTIDIRECTORY Интеграция с LDAP OIDC-провайдер Для входа используется Keycloak или Blitz Внешние провайдеры аутентификации LDAP и OIDC-провайдер можно подключить к платформе одновременно. LDAP используется для входа пользователей через внутренний сервис аутентификации платформы, а также для поиска пользователей и групп при назначении прав.</description>
    </item>
    
    <item>
      <title>Архитектура модулей доступа в платформе</title>
      <link>/ru2/platform-admin/iam/architecture/</link>
      <pubDate>Wed, 01 Jul 2026 19:41:08 +0300</pubDate>
      
      <guid>/ru2/platform-admin/iam/architecture/</guid>
      <description>Компоненты # Аутентификация — проверка личности пользователя через LDAP, AD или OIDC; Авторизация — проверка прав на доступ к ресурсам (RBAC); Модуль управления доступом — применение назначений в кластерах и неймспейсах. Аутентификация # Аутентификация в платформу доступна с помощью внутреннего провайдера Authn. Дополнительно можно подключить внешние провайдеры по протоколу OAuth OIDC 2.0: Keycloak или Blitz.
Схема аутентификации # Иллюстрация: Схема аутентификации Процесс аутентификации:
Проверка внешнего провайдера: при входе неаутентифицированного пользователя система проверяет наличие настроенного внешнего OIDC-провайдера.</description>
    </item>
    
    <item>
      <title>Интеграция с LDAP</title>
      <link>/ru2/platform-admin/iam/ldap-oidc/</link>
      <pubDate>Wed, 01 Jul 2026 19:41:08 +0300</pubDate>
      
      <guid>/ru2/platform-admin/iam/ldap-oidc/</guid>
      <description>Для кого эта страница # Страница нужна администратору платформы, который подключает LDAP-каталог и затем назначает права пользователям или группам из этого каталога.
Платформа «Штурвал» совместима с каталогами:
Active Directory; OpenLDAP; FreeIPA; ALD Pro; Samba DC; MULTIDIRECTORY. Если нужно подключить Keycloak или Blitz по OIDC, используйте раздел Внешние провайдеры аутентификации.
Если пользователь входит в большое количество LDAP-групп (более 100), доступ в GUI может быть недоступен, см. Восстановить вход в графический интерфейс.</description>
    </item>
    
    <item>
      <title>Настройка разрешений</title>
      <link>/ru2/platform-admin/iam/permissions/</link>
      <pubDate>Wed, 01 Jul 2026 19:41:08 +0300</pubDate>
      
      <guid>/ru2/platform-admin/iam/permissions/</guid>
      <description>Управление правами в платформе «Штурвал» осуществляется с помощью наборов доступов (permissions). На этой странице — полный список преднастроенных наборов, платформенных и кластерных разрешений, а также ролей в ArgoCD и прав доступа Kubeflow.
Уровни наборов доступов # Уровень Описание возможностей Платформа Доступ ко всей платформе; к клиентским кластерам без доступа к кластеру управления; только к кластеру управления; к логам; к ArgoCD; к Kubeflow Кластер Доступ к определённому клиентскому кластеру; к логам кластера; к инфраструктуре; к проектам ArgoCD и профилям Kubeflow кластера Неймспейс Доступ к определённому неймспейсу; к проекту ArgoCD и профилю Kubeflow неймспейса Обратите внимание!</description>
    </item>
    
    <item>
      <title>Назначение прав доступа</title>
      <link>/ru2/platform-admin/iam/assign-access/</link>
      <pubDate>Wed, 01 Jul 2026 19:41:08 +0300</pubDate>
      
      <guid>/ru2/platform-admin/iam/assign-access/</guid>
      <description>Ролевая модель # Права настраиваются в контексте уровней Платформа, Тенант, Кластер и Неймспейс. Устройство модели, состав наборов доступов и разрешений описаны в Архитектуре модулей доступа и в Настройке разрешений.
Обзор # Назначение прав доступа ко всей платформе и тенантам доступно только из интерфейса платформы. Также доступно назначение прав для уровня кластера управления, клиентского кластера и неймспейса.
Права назначаются пользователям и группам путём выбора одного или нескольких наборов доступов (permissions). Подробнее о наборах и разрешениях — в разделе Настройка разрешений.</description>
    </item>
    
    <item>
      <title>Дерево доступов</title>
      <link>/ru2/platform-admin/iam/access-tree/</link>
      <pubDate>Wed, 01 Jul 2026 19:41:08 +0300</pubDate>
      
      <guid>/ru2/platform-admin/iam/access-tree/</guid>
      <description>Иерархия # Платформа → Тенанты → Кластеры → Неймспейсы Права на верхнем уровне могут влиять на доступ к вложенным объектам. Например, доступ к тенанту даёт доступ ко всем кластерам и неймспейсам в нём (в зависимости от настроек).
Платформенные пользователи # Только платформенные пользователи (с правами на уровне платформы) имеют доступ к управлению тенантами и назначению прав на них.
Кластерный и неймспейсный уровень # Для доступа к объектам API-групп cluster.x-k8s.io, permissions.shturval.tech и др.</description>
    </item>
    
    <item>
      <title>Траблшутинг доступа</title>
      <link>/ru2/platform-admin/iam/troubleshooting/</link>
      <pubDate>Wed, 01 Jul 2026 15:33:26 +0300</pubDate>
      
      <guid>/ru2/platform-admin/iam/troubleshooting/</guid>
      <description>Не удаётся войти в GUI/CLI # Если входите с правами рутового администратора, проверьте учётные данные (логин, пароль); Если входите с учетными данными пользователя из внешнего каталога (LDAP/OIDC 2.0): — проверьте учётные данные (логин, пароль); — войдите с правами рутового администратора (или обратитесь к администратору), проверьте, что интеграция с внешним каталогом настроена и проверка подключения проходит; Проверьте, что в платформе существуют назначения на пользователя - права доступа, прописанные во внешнем каталоге, не создают назначений в платформе; Не удаётся войти в GUI # Проверьте URL (домен, HTTPS); Проверьте учётные данные, LDAP-интеграцию или внешний провайдер аутентификации; В интерфейсе командной строки проверьте доступность Ingress и сервисов shturval-frontend, shturval-backend.</description>
    </item>
    
    <item>
      <title>Восстановить вход в графический интерфейс</title>
      <link>/ru2/platform-admin/iam/login-loop/</link>
      <pubDate>Mon, 16 Nov 2020 13:59:39 +0100</pubDate>
      
      <guid>/ru2/platform-admin/iam/login-loop/</guid>
      <description>Если при входе в графический интерфейс платформы &amp;ldquo;Штурвал&amp;rdquo; вы столкнулись с проблемой постоянного перенаправление на форму аутентификации при вводе корректных учетных данных, проверьте размер токена пользователя и ограничения на размер HTTP-заголовков.
Такая ситуация может возникнуть, например, когда пользователь входит в большое количество LDAP-групп (более 100). При этом весь перечень групп пользователя попадает в токен, из-за чего токен становится слишком тяжелым. После успешной выдачи токена браузер передает его в HTTP-заголовках, а Модуль управления внешними подключениями (shturval-ingress-controller) отклоняет запрос при превышении допустимого размера заголовка.</description>
    </item>
    
    <item>
      <title>Как сменить пароль администратора</title>
      <link>/ru2/platform-admin/iam/admin-password/</link>
      <pubDate>Mon, 16 Nov 2020 13:59:39 +0100</pubDate>
      
      <guid>/ru2/platform-admin/iam/admin-password/</guid>
      <description>При завершении установки система предоставит временный пароль администратора для первого входа в систему и настройки интеграции с внешней системой аутентификации.
Чтобы сменить пароль администратора по умолчанию:
Перейдите в кластере управления, в боковом меню выберите раздел Администрирование и откройте страницу Кастомные ресурсы. Найдите API-группу auth.shturval.tech и выберите кастомный ресурс User. Перейдите к просмотру кастомного ресурса с именем admin. В спецификации кастомного ресурса найдите параметр passwordHash и обновите его значение. Обратите внимание! Пароль должен быть в хэшированном (bcrypt) виде.</description>
    </item>
    
    <item>
      <title>Увеличить таймаут аутентификации</title>
      <link>/ru2/platform-admin/iam/auth-timeout/</link>
      <pubDate>Mon, 16 Nov 2020 13:59:39 +0100</pubDate>
      
      <guid>/ru2/platform-admin/iam/auth-timeout/</guid>
      <description>При использовании мультифакторной аутентификации в платформе &amp;ldquo;Штурвал&amp;rdquo; может потребоваться увеличение времени для ее прохождения. По умолчанию установлено 60 секунд. Чтобы изменить это время, примените к спецификации shturval-auth аннотацию. Для этого:
Подготовьте ShturvalServicePatch для применения к спецификации (ssc) Модуля управления аутентификацией (shturval-auth), где добавьте аннотацию с необходимым временем таймаута. Пример ShturvalServicePatch apiVersion: ops.shturval.tech/v1beta2 kind: ShturvalServicePatch metadata: name: &amp;lt;имя ресурса&amp;gt; spec: shturvalServiceConfigName: shturval-auth customvalues: ingress_auth: annotations: nginx.ingress.kubernetes.io/proxy-read-timeout: &amp;#34;&amp;lt;ваше значение параметра&amp;gt;&amp;#34; Параметр Описание Пример metadata.</description>
    </item>
    
  </channel>
</rss>
