System | RBAC | Indstillinger

  • Blog
  • System | RBAC | Indstillinger

Vidensdatabase

Erfaring med webstedets pålidelighed

Se kategorier

System | RBAC | Indstillinger

2 min læses

Indholdsfortegnelse

RELIANOID Load Balancer omfatter a Rollebaseret adgangskontrol (RBAC) modul. RBAC er en politikneutral adgangskontrolmekanisme centreret omkring brugere, roller og privilegier. Dette modul integreres med forskellige datakilder og kræver specifikke brugerlegitimationsoplysninger.

Understøttede dataoprindelser #

LDAPBrugere godkendes mod et eksisterende LDAP-system, f.eks. OpenLDAP, Microsoft Active Directoryeller andre LDAP-applikationer.
LokaleBrugere autentificeres mod den lokale Linux-brugerdatabase (/ etc / shadow).

Valideringssystemkonfiguration #

relianoid load balancer v8 system rbac indstillinger

Som vist på skærmbilledet ovenfor kan du aktivere eller deaktivere valideringssystemerne efter behov. Hvis flere valideringssystemer er aktiveret, vil systemet først forsøge at logge brugeren ind via LDAP. Hvis brugeren ikke findes, vil det derefter prøve den lokale datakilde (/ etc / shadow).

Valideringssystemtabelfelter #

SystemkravAngiver valideringsmodulet for indloggede brugere. Denne version understøtter logins mod LDAP og LokaleLDAP-systemer skal konfigureres som beskrevet i senere afsnit.
StatusAngiver, om valideringssystemet er aktiveret eller deaktiveret. Grøn indikatoren betyder, at systemet er aktivt, mens Rød betyder, at den er deaktiveret.

Handlinger i valideringssystem #

StartenAktiverer godkendelsesmodulet.
StandsDeaktiverer godkendelsesmodulet.
Konfigurer Opsætter valideringsmodulet og kører tests for at sikre, at LDAP-forbindelsen er korrekt konfigureret.

Konfiguration af LDAP-valideringsforbindelsen #

For at konfigurere LDAP-forbindelsen skal du udfylde følgende parametre:

relianoid load balancer v8 system rbac indstilling ldap

Vært/URLServeren hvor LDAP er tilgængelig.
portTCP-porten, hvor LDAP-serveren lytter, typisk 389 eller 636 for LDAPS (SSL).
Bind DNDe legitimationsoplysninger (brugernavn), der bruges til LDAP-godkendelse.
Bind adgangskodeAdgangskoden til Bind DN bruger.
Base DNUdgangspunktet i mappen for søgninger efter LDAP-brugergodkendelse.
AnvendelsesområdeAngiver dybden af ​​LDAP-søgningen.
UdgaveAngiver den LDAP-version, der skal bruges.
TimeoutAngiver ventetiden på et LDAP-svar.
FiltrerBegrænser antallet af brugere eller grupper, der kan få adgang til applikationen.

Eksempel på LDAP-søgning #

Nedenfor er et eksempel på en LDAP-søgning ved hjælp af de ovenfor beskrevne felter, der viser en bruger fundet i LDAP:

root@client:~$ ldapsearch -h ldap.relianoid.com -D cn=admin,dc=relianoid,dc=com -b ou=people,dc=relianoid,dc=com -W Indtast LDAP-adgangskode: # extended LDIF # # LDAPv3 # base med omfangsundertræ # filter: (objektklasse=*) # anmoder: ALLE # # personer, relianoid.com dn: ou=personer,dc=relianoid,dc=com objektKlasse: organisationsenhed objektKlasse: top ou: personer # johndoe, personer, relianoid.com dn: cn=johndoe,ou=personer,dc=relianoid,dc=com cn: johndoe givetNavn: John gidNumber: 500 hjemmeMappe: /home/brugere/johndoe sn: doe loginShell: /bin/sh objektKlasse: inetOrgPerson objektKlasse: posixKonto objektKlasse: top uidNumber: 1000 uid: johndoe brugerPassword:: e2NSWVBUfXVLdXXXXFcxNGZaOGfdaJyZW8= # søgeresultat søgning: 2 resultat: 0 Succes # antalSvar: 3 # antalIndtastninger: 2

Attributter uid og adgangskode bruges i RBAC-modulet til godkendelse.

Når de nødvendige attributter er bekræftet, og LDAP-søgningen er vellykket, skal du konfigurere RBAC LDAP-modulet som følger:

  • LDAP-server: ldap.relianoid.com .
  • port: ikke inkluderet i kommandoen, så som standard 389.
  • Bind DN: cn=admin,dc=relianoid,dc=com .
  • Bind DN-adgangskodeHemmelig adgangskode.
  • Basesøgning: ou=folk,dc=relianoid,dc=com .
  • Filtrer: ikke brugt i eksemplet.

Handlinger i LDAP-valideringssystem #

  • AnsøgSend og anvend den nye konfiguration.
  • TestforbindelseStart en LDAP-forbindelsestest.
  • Tilbagefør ændringerNulstil de ændrede formularfelter med de sidst anvendte værdier.

Vigtige overvejelser om LDAP og AD #

Host. Understøtter begge dele Host og URL formater. Brug URL'en til at angive protokollen (f.eks. ldap://ldap.relianoid.com or ldaps://ldap.relianoid.com).
portIkke nødvendigt, hvis en URL er konfigureret. Porten er indbygget, men angiv den, hvis du bruger en ikke-standard LDAP-port.
Anvendelsesområde. Angiver søgeniveauet. Mulighederne omfatter:

  • UnderSøg i basis-DN'et og alle underniveauer.
  • ÉnSøg i basis-DN'et og kom et skridt foran.
  • BaseSøg kun i basis-DN'et uden underniveauer.

FiltrerBruges som en betingelse for at ændre login-adfærd. For eksempel bruger Active Directory attributten sAMAccountName til login. Filtre kan sammenkædes for at matche alle betingelser (f.eks. (&(&(sAMAccountName=%s)(memberOf=CN=sysadmins,OU=dinOU,DC=dinvirksomhed,DC=com))) ).

📄 Download dette dokument i PDF-format #

    EMAIL: *

    drevet af BetterDocs