System | RBAC | Indstillinger

  • Blog
  • System | RBAC | Indstillinger

Vidensdatabase

Erfaring med webstedets pålidelighed

Se kategorier

System | RBAC | Indstillinger

3 min læses

Indholdsfortegnelse

Indstillinger for rollebaseret adgangskontrol #

Relianoid Load Balancer omfatter a Rollebaseret adgangskontrol(RBAC) modul. RBAC er en politikneutral adgangskontrolmekanisme defineret omkring brugere, roller og privilegier. Modulet forbinder forskellige datakilder og beder om bestemte brugerlegitimationsoplysninger.

Dette er de understøttede dataoprindelsessteder.
LDAPBrugerne er logget mod et eksisterende LDAP-system, f.eks. OpenLDAP, Microsoft Active Directory og andre LDAP-applikationsløsninger.
LokaleBrugerne er logget mod den lokale Linux-brugerdatabase (/ etc / shadow).

Valideringssystemkonfiguration #

Som vist på skærmbilledet ovenfor kan valideringssystemerne aktiveres eller deaktiveres efter behov. Hvis mere end ét valideringssystem er aktiveret, vil der blive foretaget en prøveperiode for at logge brugeren ud via LDAP. Hvis brugeren ikke findes, vil den forsøge at logge den ud via lokale dataoprindelse (/ etc / shadow).

Felterne i Valideringssystem tabellen er beskrevet nedenfor:
SystemkravDefinerer valideringsmodulet for brugere, der er logget ind. I denne version er logins mod LDAP og Lokale understøttes. I tilfælde af LDAP-validering skal systemet konfigureres som forklaret i de senere kapitler i dette afsnit.
StatusStatussen er enten aktiveret eller deaktiveret. Viser en Grøn indikatoren, hvis valideringssystemet er aktivt, og Rød hvis det er deaktiveret.
handlingerDe understøttede handlinger er:

  • StartenFor at aktivere brugen af ​​godkendelsesmodulet.
  • StandsFor at deaktivere brugen af ​​godkendelsesmodulet.
  • Konfigurer At konfigurere valideringsmodulet og køre nogle tests for at kontrollere, om LDAP-forbindelsen er korrekt konfigureret.

Konfiguration af LDAP-valideringsforbindelse #

Du skal udfylde disse parametre for at en korrekt LDAP-forbindelse kan konfigureres.

Vært/URLDen server, hvor LDAP'en er tilgængelig.
portTCP-porten, hvor LDAP-serveren lytter. Som standard er den 389 eller 636 for LDAPS (SSL).
Bind DNDe legitimationsoplysninger (brugernavn), der skal bruges ved godkendelse på en LDAP-server.
Bind adgangskodeAdgangskoden til Bind DN bruger.
Base DNEt punkt i en mappe, hvor LDAP-serveren begynder at søge efter brugergodkendelse.
AnvendelsesområdeDette omfang angiver, hvor dybt LDAP-søgningen skal udføres.
UdgaveAngiv hvilken LDAP-version der skal have adgang til LDAP-serveren.
TimeoutBestemmer LDAP-timeoutvarigheden, hvis søgningen ikke finder den.
FiltrerEn attribut, der angiver eller begrænser antallet af brugere eller grupper, der kan få adgang til et program.

Søgningen nedenfor er et eksempel, der bruger de felter, der er beskrevet ovenfor. Du kan se, at en bruger findes i LDAP'en udover bind DN bruger.

root@client:~$ ldapsearch -h ldap.relianoid.com -D cn=admin,dc=relianoid,dc=com -b ou=people,dc=relianoid,dc=com -W Indtast LDAP-adgangskode: # extended LDIF # # LDAPv3 # base med omfangsundertræ # filter: (objektklasse=*) # anmoder: ALLE # # personer, relianoid.com dn: ou=personer,dc=relianoid,dc=com objektKlasse: organisationsenhed objektKlasse: top ou: personer # johndoe, personer, relianoid.com dn: cn=johndoe,ou=personer,dc=relianoid,dc=com cn: johndoe givetNavn: John gidNumber: 500 hjemmeMappe: /home/brugere/johndoe sn: doe loginShell: /bin/sh objektKlasse: inetOrgPerson objektKlasse: posixKonto objektKlasse: top uidNumber: 1000 uid: johndoe brugerPassword:: e2NSWVBUfXVLdXXXXFcxNGZaOGfdaJyZW8= # søgeresultat søgning: 2 resultat: 0 Succes # antalSvar: 3 # antalIndtastninger: 2

Bemærk at attributten uid og adgangskode skal bruges i RBAC-modulgodkendelsen.

Når de nødvendige attributter er bekræftet, og LDAP-søgningen fungerer, konfigureres RBAC LDAP-modulet som vist nedenfor.

  • LDAP-server: ldap.relianoid.com .
  • port: ikke inkluderet i kommandoen, så som standard 389.
  • Bind DN: cn=admin,dc=relianoid,dc=com .
  • Bind DN-adgangskodeHemmelig adgangskode.
  • Basesøgning: ou=folk,dc=relianoid,dc=com .
  • Filtrer: ikke brugt i eksemplet.

handlingerNogle handlinger er tilgængelige efter konfigurationen.

  • AnsøgSend og anvend den nye konfiguration.
  • TestforbindelseStart en LDAP-forbindelsestest.
  • Tilbagefør ændringerNulstil de ændrede formularfelter med de sidst anvendte værdier.

Overvejelser #

Host Feltet understøtter følgende formater: Host or URLBrug URL'en, hvis du vil angive protokollen (ldap://ldap.relianoid.com or ldaps://ldap.relianoid.com).
port Feltet behøver ikke at blive brugt, hvis du konfigurerer en URL. Porten er indbygget, men hvis den anvendte LDAP-port ikke er standardporten, skal du angive porten.
Anvendelsesområde Feltet kan bruges til at angive det søgeniveau, der skal anvendes. UnderSøgningen udføres i det konfigurerede basis-DN og alle tilgængelige underniveauer. ÉnSøgningen udføres i det konfigurerede basis-DN og i et underniveau med et trin. BaseSøgningen udføres kun i basis-DN'et uden at søge i noget underniveau.
Filtrer feltet bruges som en betingelse. Hvis en given uid ikke indeholder den attribut, der er angivet her, vil loginet være forkert, selvom adgangskoden er korrekt. Dette felt bruges også til at ændre login-adfærden, hvis LDAP-systemet bruger en anden attribut til login-formål. Du skal angive den anvendte attribut her. For eksempel, Active Directory bruger attributten sAMAccountName til login. Filtre kan sammenkædes, så alle betingelserne matcher, for eksempel: (&(sAMAccountName=%s)(memberAf=CN=sysadmins,OU=dinOU,DC=dinvirksomhed,DC=com)).

📄 Download dette dokument i PDF-format #

    EMAIL: *

    drevet af BetterDocs