Süsteem | RBAC | Seadistused

POSTITATUD 18. märtsil 2020

Seaded

Zevenet Load Balancer sisaldab RBAC moodul (Rollipõhine juurdepääsu kontroll), see on poliitika, neutraalse juurdepääsu kontrollimise mehhanism, mis on määratletud kasutajate, rollide ja privileegide ümber, see RBAC-moodul on võimeline ühendama erinevat andmete päritolu ja küsima teatud kasutajalt, toetatud andmete päritolu on:

  • LDAP: Kasutajad on logitud olemasoleva LDAP-süsteemi, näiteks OpenLDAP, Microsofti Active Directory, vastu teiste LDAP-rakenduste lahenduste vastu.
  • kohalik: Kasutajad registreeritakse kohaliku Linuxi kasutajate andmebaasis (/ etc / shadow).

Valideerimissüsteemi konfiguratsioon

Nagu eelmises ekraanipildis on näidatud, saab valideerimissüsteeme vajaduse korral lubada või keelata, juhul kui rohkem kui üks valideerimissüsteem on lubatud, proovitakse kasutajat kõigepealt sisse logida LDAP-i kaudu, kui kasutajat ei leita siis kohapeal (/ etc / shadow).

Allpool kirjeldatakse valideerimissüsteemi väljade väljad:

  • süsteem: Määratleb sisselogimiskasutajate valideerimise mooduli, selles versioonis sisselogimine LDAP-iga ja kohapeal toetatud, LDAP-i valideerimise korral tuleb süsteem konfigureerida järgmistes ridades selgitatud viisil
  • olek: Lubatud või keelatud, näitab rohelise punktiga, kui seda valideerimissüsteemi kasutatakse, või punase punktiga, kui see on keelatud.
  • Meetmete: Toetatud toimingud on: Keela / luba: selle valideerimise mooduli kasutamise aktiveerimiseks või desaktiveerimiseks ja seadistada: see konfigureerib valideerimismooduli ja käivitab mõned testid, et kontrollida, kas LDAP-pistik on õigesti konfigureeritud.

LDAP valideerimise pistiku konfigureerimine

Õige LDAP-pistiku konfiguratsiooni jaoks vajalikud väärtused on järgmised:

  • LDAP-server: Host, kuhu LDAP on juurdepääsetav.
  • port: TCP-port, kus LDAP-teenust kuulatakse, vaikimisi LDAPS (SSL) jaoks 389 või 636
  • Seo DN: Tee otsingulubadega kasutaja juurde
  • Seo parool: Bind DN-i kasutaja parool
  • Aluse otsing: Kasutajatelt otsimise tee
  • filtrid: Atribuut, mis peab vastama valitud kasutajale, näiteks teatud grupi liige.

Järgnev otsing käivitab näite ülalkirjeldatud väljadega, kuna võib näidata, et antud kasutaja leitakse LDAP-ist koos sidunud DN-kasutajaga, kellel on õigused otsingute tegemiseks.

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e0NSWVBUfXVLdFcxNGZaOGfdaFyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

Vaadake atribuuti uid ja parool, mida hakatakse kasutama RBAC-mooduli autentimisel.

Kui nõutavad atribuudid on teada ja käsitsi kontrollitud, et LDA-otsing töötab, tuleb RBAC LDAP-moodul konfigureerida järgmiselt:

  • LDAP-server: ldap.zevenet.com
  • port: käsku ei kuulu, seega vaikimisi 389
  • Seo DN: cn = admin, dc = zevenet, dc = com
  • Seo DN parool: Parool
  • Aluse otsing: ou = inimesed, dc = zevenet, dc = com
  • filtrid: näites ei kasutata

Kaalutlused

  • Hostiväli toetab järgmisi vorminguid: Võõrustaja or URL, kasutage URL-i, kui soovite protokolli täpsustada (ldap: //ldap.zevenet.com or ldaps: //ldap.zevenet.com).
  • Pordivälja ei pea URL-i konfigureerimisel kasutama, siis on port omane, kuid kui vaikimisi pole kasutatud LDAP-port, siis määrake siin port.
  • Reguleerimisala saab kasutada selle otsingutaseme märkimiseks, alla: Otsing toimub konfigureeritud baas-DN-s ja kõigis saadaolevates alltasemetes. Üks: Otsing toimub konfigureeritud Base DN-s ja järgmises alltasemel. alus: Otsimine toimub ainult baas-DN-s, ilma ühegi alltaseme otsingut tegemata.
  • Filtrivälja kasutatakse juhul, kui see on antud uid ei sisalda siin näidatud atribuuti, siis on sisselogimine vale isegi siis, kui parool on õige. Seda välja kasutatakse ka sisselogimiskäitumise muutmiseks juhul, kui LDAP-süsteem kasutab sisselogimiseks muud atribuuti, siis peate siin märkima hoopis kasutatud atribuudi. Näiteks kasutab Active Directory sisselogimiseks atribuuti sAMAccountName, seejärel muutke filtrit, nagu näidatud: (sAMAccountName =% s).
  • Filtrid saab liita, nii et kõik tingimused peavad vastama, näiteks: (& (sAMAccountName =% s) (liigeOf = CN = sysadmins, OU = teieOU, DC = teieettevõte, DC = com)).
Jaga:

Dokumentatsioon GNU Vaba Dokumentatsiooni Litsentsi tingimustel.

Kas see artikkel oli kasulik?

Jah Ei

seotud artiklid