Sistem | RBAC | Tetapan

DIPOS oleh Zevenet | 18 Mac 2020

Tetapan

Zevenet Load Balancer termasuk a RBAC modul (Kawalan capaian berasaskan peranan), ia adalah mekanisme kawalan akses neutral yang ditakrifkan di sekitar pengguna, peranan dan keistimewaan, modul RBAC ini dapat menyambung kepada asal data yang berbeza dan meminta pengguna tertentu, asal data yang disokong adalah:

  • LDAP: Pengguna dilog masuk ke sistem LDAP yang sedia ada, misalnya, OpenLDAP, Microsoft Active Directory antara penyelesaian aplikasi LDAP yang lain.
  • Tempatan: Pengguna log masuk ke pangkalan data pengguna Linux tempatan (/ etc / shadow).

Konfigurasi Sistem Pengesahan

Seperti yang ditunjukkan dalam tangkapan skrin sebelumnya, sistem pengesahan boleh diaktifkan atau dilumpuhkan sekiranya diperlukan, sekiranya lebih daripada satu sistem pengesahan didayakan pengguna akan cuba log masuk terlebih dahulu melalui LDAP, jika pengguna tidak dijumpai kemudian, secara tempatan (/ etc / bayangan).

Bidang dalam jadual Sistem Pengesahan diterangkan di bawah:

  • sistem: Menetapkan modul pengesahan untuk pengguna masuk, dalam login versi ini terhadap LDAP dan setempat disokong, dalam hal pengesahan LDAP, sistem perlu dikonfigurasi seperti yang dijelaskan dalam baris berikut
  • status: Diaktifkan atau dilumpuhkan, ditunjukkan di titik hijau jika sistem pengesahan ini digunakan atau titik merah jika ia dilumpuhkan.
  • Tindakan: Tindakan yang disokong adalah: Lumpuhkan / dayakan: untuk mengaktifkan atau menyahaktifkan penggunaan modul pengesahan ini dan mengkonfigurasi: ia mengkonfigurasi modul pengesahan dan menjalankan beberapa ujian untuk memastikan bahawa penyambung LDAP dikonfigurasi dengan betul.

Mengkonfigurasi penyambung pengesahan LDAP

Nilai yang diperlukan untuk konfigurasi penyambung LDAP yang betul adalah yang berikut:

  • Pelayan LDAP: Hos di mana LDAP boleh diakses.
  • Port: Port TCP di mana perkhidmatan LDAP sedang mendengar, secara lalai 389 atau 636 untuk LDAPS (SSL)
  • Bind DN: Laluan kepada pengguna dengan kebenaran carian
  • Kata Laluan Bind: Kata laluan untuk pengguna Bind DN
  • Carian Asas: Laluan di mana carian dari pengguna
  • tapis: Atribut yang perlu dipadankan dalam pengguna untuk dipilih, sebagai contoh, ahli kumpulan tertentu.

Carian berikut menjalankan contoh dengan medan yang diterangkan sebelumnya, kerana dapat ditunjukkan pengguna yang diberikan ditemukan dalam LDAP dengan pengguna DN mengikat dengan izin untuk melakukan pencarian.

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e0NSWVBUfXVLdFcxNGZaOGfdaFyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

Rujuk kepada atribut uid dan kata laluan, yang akan digunakan dalam pengesahan modul RBAC.

Setelah atribut yang diperlukan diketahui dan diperiksa secara manual bahawa carian ldap berfungsi, modul RBAC LDAP perlu dikonfigurasi seperti yang ditunjukkan di bawah:

  • Pelayan LDAP: ldap.zevenet.com
  • Port: tidak termasuk dalam arahan, jadi secara lalai 389
  • Bind DN: cn = admin, dc = zevenet, dc = com
  • Kata Laluan DN: Kata Laluan
  • Carian Asas: ou = orang, dc = zevenet, dc = com
  • tapis: tidak digunakan dalam exmple

Pertimbangan

  • Medan hos menyokong format berikut: Tuan rumah or URL, gunakan URL jika anda mahu menentukan protokol (ldap: //ldap.zevenet.com or ldaps: //ldap.zevenet.com).
  • Medan port tidak perlu digunakan sekiranya anda mengkonfigurasi URL, port itu sudah ada, tetapi jika port LDAP yang digunakan bukan lalai maka nyatakan di sini port.
  • Bidang skop boleh digunakan untuk menunjukkan tahap carian mana yang hendak digunakan, Sub: Carian dilakukan di DN Base dikonfigurasi dan semua sublevels yang tersedia. satu: Carian dilakukan di DN Base dikonfigurasi dan dalam subperel berikut. Asas: Pencarian ini hanya dilakukan di Pangkalan DN, tanpa mencari di mana-mana sublevel.
  • Medan saringan digunakan sebagai syarat, jika diberikan uid tidak termasuk atribut yang ditunjukkan di sini maka log masuk akan salah walaupun kata laluan betul. Medan ini juga digunakan untuk mengubah tingkah laku log masuk sekiranya sistem LDAP menggunakan atribut lain untuk tujuan masuk, maka anda harus menunjukkan di sini atribut yang digunakan. Sebagai contoh, Direktori Aktif menggunakan atribut sAMAccountName untuk log masuk, kemudian ubah suai seperti yang ditunjukkan: (sAMAccountName =% s).
  • Penapis boleh digabungkan sehingga semua syarat harus sesuai, misalnya: (& (sAMAccountName =% s) (memberOf = CN = sysadmins, OU = yourOU, DC = syarikat anda, DC = com)).
Berkongsi pada:

Dokumentasi di bawah syarat-syarat Lesen Dokumentasi Bebas GNU.

Adakah artikel ini berguna?

Artikel yang berkaitan