如何将项目限制为特定用户¶
您可以使用项目来限制不同用户或客户端的活动。有关更多信息,请参见 多用户环境中的限制性项目。
如何将项目限制为特定用户取决于您选择的身份验证方法。
将项目限制为特定 TLS 客户端¶
您可以通过限制用于连接到 Incus 服务器的 TLS 客户端证书来限制对特定项目的访问。有关详细信息,请参见 TLS 客户端证书。
要从添加客户端证书时开始限制访问,您必须使用令牌身份验证或将客户端证书直接添加到服务器。
使用以下命令添加受限的客户端证书
incus config trust add --projects <project_name> --restricted
incus config trust add-certificate <certificate_file> --projects <project_name> --restricted
然后,客户端可以像往常一样添加服务器作为远程服务器(incus remote add <server_name> <token> 或 incus remote add <server_name> <server_address>),并且只能访问已指定的项目。
要限制现有证书的访问,请使用以下命令
incus config trust edit <fingerprint>
确保将 restricted 设置为 true,并在 projects 下指定证书应授予访问权限的项目。
注意
您可以在添加远程服务器时指定 --project 标志。此配置会预先选择指定的项目。但是,它不会将客户端限制在该项目中。
将项目限制为特定 Incus 用户¶
Incus 可以配置为为特定用户组中的所有用户动态创建项目。这通常是通过让某些用户成为 incus 组的成员,但不是 incus-admin 组的成员来实现的。
确保您希望能够使用 Incus 的所有用户帐户都是此组的成员。
一旦此组的成员发出 Incus 命令,Incus 就会为此用户创建一个受限项目并切换到该项目。如果 Incus 此时尚未 初始化,它会自动初始化(使用默认设置)。
如果您想自定义项目设置,例如,要实施限制,您可以在创建项目后进行。要修改项目配置,您必须对 Incus 拥有完全访问权限,这意味着您必须是 incus-admin 组的成员,而不仅仅是您配置为 Incus 用户组的组。