Rollebaserede adgangskontrolindstillinger

ZEVENET Load Balancer omfatter a Rollebaseret adgangskontrol(RBAC) modul. RBAC er en politikneutral adgangskontrolmekanisme defineret omkring brugere, roller og privilegier. Modulet forbinder forskellige datakilder og beder om visse brugerlegitimationsoplysninger.

Disse er de understøttede dataoprindelser.
LDAP. Brugerne logges mod et eksisterende LDAP-system, f.eks OpenLDAP, Microsoft Active Directory og andre LDAP-applikationsløsninger.
Lokale. Brugerne logges mod det lokale Linux brugerdatabase (/ etc / shadow).

Valideringssystemkonfiguration

Som vist på skærmbilledet ovenfor, kan valideringssystemerne aktiveres eller deaktiveres efter behov. Hvis mere end ét valideringssystem er aktiveret, vil der være en prøveperiode for at logge brugeren ud gennem LDAP. Hvis brugeren ikke bliver fundet, vil den forsøge gennem lokale dataoprindelse (/ etc / shadow).

Felterne i Valideringssystem tabellen er beskrevet nedenfor:
Systemkrav. Definerer valideringsmodulet for loggede brugere. I denne version, login mod LDAP Lokale er understøttet. I tilfælde af LDAP-validering skal systemet konfigureres som forklaret i de senere kapitler i dette afsnit.
Status. Status er enten aktiveret eller deaktiveret. Viser en Grøn indikator om valideringssystemet er aktivt og Rød hvis det er deaktiveret.
handlinger. De understøttede handlinger er:

• Starten. For at aktivere brugen af ​​godkendelsesmodulet.
• Stands. For at deaktivere brugen af ​​godkendelsesmodulet.
• Konfigurer . For at konfigurere valideringsmodulet og køre nogle tests for at kontrollere, om LDAP-stikket er korrekt konfigureret.

Konfiguration af LDAP-valideringsstik

Du skal udfylde disse parametre, for at et korrekt LDAP-stik kan konfigureres.

Vært/URL. Serveren, hvor LDAP er tilgængelig.
port. TCP-porten, hvor LDAP-serveren lytter. Som standard er det 389 eller 636 for LDAPS (SSL).
Bind DN. De legitimationsoplysninger (brugernavn), der skal bruges ved godkendelse på en LDAP-server.
Bind adgangskode. Adgangskoden til Bind DN bruger.
Base DN. Et punkt i en mappe, hvor LDAP-serveren begynder at søge efter brugergodkendelse.
Anvendelsesområde. Dette omfang angiver, hvor dybt LDAP-søgningen skal foregå.
Udgave. Angiv, hvilken LDAP-version der skal få adgang til LDAP-serveren.
Timeout. Bestemmer LDAP-timeout-varigheden, hvis den ikke finder søgningen.
filtre. En attribut, der specificerer eller begrænser antallet af brugere eller grupper, der kan få adgang til en applikation.

Søgningen nedenfor er et eksempel, der bruger felterne beskrevet ovenfor. Du kan se, at en bruger findes i LDAP udover bind DN bruger.

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e2NSWVBUfXVLdFcxNGZaOGfdaJyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

Bemærk, at attributten uid adgangskode skal bruges i RBAC-modulets autentificering.

Når de påkrævede attributter bekræftes, og LDAP-søgningen også virker, konfigureres RBAC LDAP-modulet som vist nedenfor.

• LDAP-server: ldap.zevenet.com .
• port: ikke inkluderet i kommandoen, så som standard 389.
• Bind DN: cn=admin,dc=zevenet,dc=com .
• Bind DN-adgangskode: Hemmelig adgangskode.
• Basis søgning: ou=folk,dc=zevenet,dc=com .
• filtre: ikke brugt i eksemplet.

handlinger. Nogle handlinger er tilgængelige efter konfigurationen.

• Indløs. Indsend og anvend den nye konfiguration.
• Testforbindelse. Start en LDAP-forbindelsestest.
• Tilbagefør ændringer. Nulstil de ændrede formularfelter med de sidst anvendte værdier.

Overvejelser

Host felt understøtter følgende formater: Host or URL. Brug URL'en, hvis du vil angive protokollen (ldap: //ldap.zevenet.com or ldaps: //ldap.zevenet.com).
port feltet behøver ikke at blive brugt, hvis du konfigurerer en URL. Porten er iboende, men hvis den brugte LDAP-port ikke er standard, skal du angive porten.
Anvendelsesområde feltet kan bruges til at angive det søgeniveau, der skal anvendes. Under: Søgningen udføres i den konfigurerede Base DN og alle de tilgængelige underniveauer. Én: Søgningen udføres i den konfigurerede Base DN og i et underniveau et-trins hoved. Base: Søgningen udføres kun i Base DN uden søgning på noget underniveau.
filtre felt bruges som betingelse. Hvis en given uid ikke inkluderer den attribut, der er angivet her, så vil login være forkert, selvom adgangskoden er korrekt. Dette felt bruges også til at ændre login-adfærden, hvis LDAP-systemet bruger en anden attribut til login-formål. Du skal her angive den anvendte attribut. For eksempel, Active Directory bruger attributten sAMAccountName for login. Filtre kan sammenkædes, så alle betingelser matcher, for eksempel: (& (sAMAccountName =% s) (memberOf = CN = sysadmins, OU = yourOU, DC = yourcompany, DC = com)).