Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Il s'agit d'une documentation non publiée pour Admission Controller 1.34-dev.

Paramètres de la stratégie

Le comportement de la stratégie n’est pas rigide, vous pouvez le configurer en fournissant les détails de configuration à la stratégie via le composant d’exécution. L’auteur de la stratégie a la liberté de définir la structure des paramètres de la stratégie.

SUSE Security Admission Controller s’occupe de sérialiser les paramètres de la stratégie en JSON et les fournit à la stratégie chaque fois qu’elle est invoquée.

Validation des paramètres

Les stratégies doivent valider les paramètres fournis par un utilisateur pour vérifier leur exactitude.

Chaque stratégie enregistre une fonction waPC appelée validate_settings qui valide les paramètres de la stratégie.

La fonction validate_settings reçoit en entrée une représentation JSON des paramètres fournis par l’utilisateur. Cette fonction les valide et renvoie en réponse un objet SettingsValidationResponse.

La structure de l’objet SettingsValidationResponse est :

{
  # mandatory
  "valid": <boolean>,

  # optional, ignored if accepted - recommended for rejections
  "message": <string>,
}

Si les paramètres fournis par l’utilisateur sont valid, validate_settings ignore le contenu de message. Sinon, validate_settings affiche le contenu de message.

Le Admission Controller de serveur-de-stratégie valide tous les paramètres de la stratégie fournis par les utilisateurs au démarrage. Le serveur de stratégie se termine immédiatement avec une erreur si au moins l’une de ses stratégies a reçu des paramètres de configuration incorrects.

Par exemple :

Par exemple, considérez la stratégie psp-capacités qui a le format de configuration suivant :

allowed_capabilities:
- CHOWN

required_drop_capabilities:
- NET_ADMIN

default_add_capabilities:
- KILL

La fonction validate_settings reçoit en entrée le document JSON suivant :

{
  "allowed_capabilities": [
    "CHOWN"
  ],
  "required_drop_capabilities": [
    "NET_ADMIN"
  ],
  "default_add_capabilities": [
    "KILL"
  ]
}

Récapitulatif

Chaque stratégie doit enregistrer une fonction waPC, validate_settings.