System | RBAC | Indstillinger

SENDT AF Zevenet | 18. marts, 2020

Indstillinger

Zevenet Load Balancer inkluderer en RBAC modul (Rollebaseret adgangskontrol), det er en politikneutral adgangskontrolmekanisme, der er defineret omkring brugere, roller og privilegier, dette RBAC-modul er i stand til at oprette forbindelse til forskellige dataoprindelse og bede om en bestemt bruger, de understøttede dataoprindelse er:

  • LDAP: Brugerne er logget mod et eksisterende LDAP-system, f.eks. OpenLDAP, Microsoft Active Directory blandt andre LDAP-applikationsløsninger.
  • lokal: Brugerne er logget op mod den lokale Linux-brugeres database (/ etc / shadow).

Valideringssystemkonfiguration

Som det vises i det forrige skærmbillede, kan valideringssystemerne aktiveres eller deaktiveres efter behov, i tilfælde af at mere end ét valideringssystem er aktiveret, vil brugeren blive forsøgt logget på først via LDAP, hvis brugeren ikke findes derefter lokalt (/ etc / skygge).

Felterne i tabellen Valideringssystem er beskrevet nedenfor:

  • System: Definerer valideringsmodulet for login-brugere, i denne version understøttes login mod LDAP og lokalt, i tilfælde af LDAP-validering skal systemet konfigureres som forklaret i følgende linjer
  • Status: Aktiveret eller deaktiveret, vises i grønt punkt, hvis dette valideringssystem bruges eller rødt punkt, hvis det er deaktiveret.
  • handlinger: De understøttede handlinger er: Slå fra Slå til: for at aktivere eller deaktivere denne brug af valideringsmodul og konfigurere: det konfigurerer valideringsmodulet og kører nogle test for at kontrollere, at LDAP-stikket er korrekt konfigureret.

Konfiguration af LDAP-valideringsstik

De krævede værdier for en korrekt LDAP-stikkonfiguration er følgende:

  • LDAP-server: Værten, hvor LDAP er tilgængelig.
  • port: TCP-port, hvor LDAP-tjenesten lytter, som standard 389 eller 636 for LDAPS (SSL)
  • Bind DN: Stien til brugeren med søgetilladelser
  • Bind adgangskode: Adgangskoden til Bind DN-brugeren
  • Basis søgning: Stien, hvor søgning fra brugerne
  • filtre: Attribut, der skal matche den bruger, der skal vælges, for eksempel medlem af en bestemt gruppe.

Den følgende søgning kører et eksempel med de beskrevne felter tidligere, da det kan vises, at den givne bruger findes i LDAP med en bindende DN-bruger med tilladelse til at udføre søgninger.

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e0NSWVBUfXVLdFcxNGZaOGfdaFyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

Se attributten uid og adgangskode, som vil blive brugt i RBAC-modulgodkendelsen.

Når de påkrævede attributter er kendt og kontrolleret manuelt, at ldap-søgningen fungerer, skal RBAC LDAP-modulet konfigureres som vist nedenfor:

  • LDAP-server: ldap.zevenet.com
  • port: ikke inkluderet i kommandoen, så som standard 389
  • Bind DN: cn = admin, dc = zevenet, dc = com
  • Bind DN-adgangskode: Adgangskode
  • Basis søgning: ou = mennesker, dc = zevenet, dc = com
  • filtre: ikke brugt i eksemplet

Overvejelser

  • Værtsfelt understøtter følgende formater: Host or URL, brug URL'en, hvis du vil specificere protokollen (ldap: //ldap.zevenet.com or ldaps: //ldap.zevenet.com).
  • Portfelt behøver ikke at blive brugt, hvis du konfigurerer en URL, porten er iboende, men hvis den anvendte LDAP-port ikke er standard, skal du her angive porten.
  • Omfangsfelt kan bruges til at indikere hvilket søgeniveau, der skal anvendes, Under: Søgningen udføres i den konfigurerede Base DN og alle tilgængelige under niveauer. Én: Søgningen udføres i den konfigurerede Base DN og i den følgende underniveau. Base: Søgningen udføres kun i Base DN, uden at søge i nogen underplan.
  • Filterfeltet bruges som en betingelse, hvis det givne uid inkluderer ikke den attribut, der er angivet her, så er login forkert, selvom adgangskoden er korrekt. Dette felt bruges også til at ændre loginadfærden, hvis LDAP-systemet bruger en anden attribut til loginformål, så du skal angive her den anvendte attribut i stedet. For eksempel bruger Active Directory attributten sAMAccountName til login, og rediger derefter filteret som angivet: (SAMAccountName =% s).
  • Filtre kan sammenkædes, så alle betingelser skal matche, for eksempel: (& (sAMAccountName =% s) (memberOf = CN = sysadmins, OU = yourOU, DC = yourcompany, DC = com)).
Del på:

Dokumentation i henhold til GNU Free Documentation License.

Var denne artikel til hjælp?

Relaterede artikler