Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Dies ist eine unveröffentlichte Dokumentation für Admission Controller 1.34-dev.

Richtlinieneinstellungen

Das Verhalten der Richtlinie ist nicht starr, Sie können es konfigurieren, indem Sie der Richtlinie zur Laufzeit Konfigurationsdetails bereitstellen. Der Autor der Richtlinie hat die Freiheit, die Struktur der Richtlinieneinstellungen zu definieren.

SUSE Security Admission Controller kümmert sich um die Serialisierung der Richtlinieneinstellungen in JSON und stellt sie der Richtlinie jedes Mal zur Verfügung, wenn sie aufgerufen wird.

Validierung der Einstellungen

Richtlinien sollten die Einstellungen, die ein Benutzer bereitstellt, validieren, um die Richtigkeit zu überprüfen.

Jede Richtlinie registriert eine waPC-Funktion namens validate_settings, die die Richtlinieneinstellungen validiert.

Die validate_settings-Funktion erhält als Eingabe eine JSON-Darstellung der vom Benutzer bereitgestellten Einstellungen. Diese Funktion validiert sie und gibt als Antwort ein SettingsValidationResponse-Objekt zurück.

Die Struktur des SettingsValidationResponse-Objekts ist:

{
  # mandatory
  "valid": <boolean>,

  # optional, ignored if accepted - recommended for rejections
  "message": <string>,
}

Wenn die vom Benutzer bereitgestellten Einstellungen valid sind, ignoriert validate_settings die Inhalte von message. Andernfalls zeigt validate_settings die Inhalte von message an.

Admission Controller’s policy-server validiert alle von Benutzern bereitgestellten Richtlinieneinstellungen zur Startzeit. Der policy-server beendet sich sofort mit einem Fehler, wenn mindestens eine seiner Richtlinien falsche Konfigurationsparameter erhalten hat.

Beispiel

Als Beispiel betrachten Sie die psp-capabilities Richtlinie, die das folgende Konfigurationsformat hat:

allowed_capabilities:
- CHOWN

required_drop_capabilities:
- NET_ADMIN

default_add_capabilities:
- KILL

Die validate_settings-Funktion erhält als Eingabe das folgende JSON-Dokument:

{
  "allowed_capabilities": [
    "CHOWN"
  ],
  "required_drop_capabilities": [
    "NET_ADMIN"
  ],
  "default_add_capabilities": [
    "KILL"
  ]
}

Zusammenfassung

Jede Richtlinie muss eine waPC-Funktion registrieren, validate_settings.