מערכת | RBAC | הגדרות

פורסם על ידי זאבנט | 18 במרץ, 2020

הגדרות

זוונט איזון עומסים כולל RBAC מודול (בקרת גישה מבוססת תפקיד), זהו מנגנון בקרת גישה ניטרלי מדיניות המוגדר סביב משתמשים, תפקידים והרשאות, מודול RBAC זה מסוגל להתחבר למקור נתונים אחר ולבקש משתמש מסוים, מקור הנתונים הנתמך הוא:

  • LDAP: המשתמשים מחוברים כנגד מערכת LDAP קיימת, למשל OpenLDAP, Microsoft Active Directory בין פתרונות יישומי LDAP אחרים.
  • מקומי: המשתמשים מחוברים כנגד מסד הנתונים של משתמשי לינוקס המקומיים (/ etc / shadow).

תצורת מערכת אימות

כפי שמוצג בצילום המסך הקודם, ניתן להפעיל או לבטל את מערכות האימות בהתאם לצורך, למקרה שיותר ממערכת אימות אחת מופעלת, המשתמש ינסה להיכנס תחילה דרך LDAP, אם המשתמש לא נמצא ואז, באופן מקומי (/ וכו '/ צל).

השדות בטבלת מערכת האימות מתוארים להלן:

  • מערכת: מגדיר את מודול האימות למשתמשים בהתחברות, בגירסה זו התחברות כנגד LDAP ובאופן מקומי נתמכים, במקרה של אימות LDAP, יש להגדיר את המערכת כפי שהוסבר בשורות הבאות.
  • מצב: מופעל או מושבת, מוצג בנקודה ירוקה אם מערכת אימות זו משמשת או נקודה אדומה אם היא מושבתת.
  • פעולותהפעולות הנתמכות הן: לא לאפשר לאפשר: כדי להפעיל או לבטל את השימוש במודול האימות הזה ו- להגדיר: זה מגדיר את מודול האימות ומריץ כמה בדיקות כדי לבדוק שמחבר LDAP מוגדר כהלכה.

הגדרת מחבר אימות LDAP

הערכים הנדרשים לתצורת מחבר LDAP נכונה הם הבאים:

  • שרת LDAP: המארח בו נגיש ה- LDAP.
  • נָמָל: יציאת TCP בה שירות ה- LDAP מאזין, כברירת מחדל 389 או 636 עבור LDAPS (SSL)
  • לאגד את ד.נ.: הנתיב למשתמש עם הרשאות חיפוש
  • כבל סיסמא: הסיסמה למשתמש Bind DN
  • חיפוש בסיסי: הנתיב שבו החיפוש מהמשתמשים
  • סינון: תכונה שצריכה להתאים למשתמש שייבחר, ​​למשל, חבר בקבוצה מסוימת.

החיפוש הבא מציג דוגמה עם השדות המתוארים בעבר, שכן ניתן להראות שהמשתמש הנתון נמצא ב- LDAP עם משתמש DN בכריכה עם הרשאות לבצע חיפושים.

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e0NSWVBUfXVLdFcxNGZaOGfdaFyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

עיין בתכונה uid ו סיסמא, אשר הולכים לשמש באימות מודול RBAC.

לאחר הידוע בתכונות הנדרשות ובודק ידנית כי חיפוש ldap עובד, צריך להגדיר את מודול RBAC LDAP כמוצג להלן:

  • שרת LDAP: ldap.zevenet.com
  • נָמָל: לא כלול בפקודה, כך כברירת מחדל 389
  • לאגד את ד.נ.: cn = admin, dc = zevenet, dc = com
  • כבל את סיסמת DN: סיסמה
  • חיפוש בסיסי: ou = אנשים, dc = zevenet, dc = com
  • סינון: לא בשימוש בדוגמה

שיקולים

  • שדה מארח תומך בפורמטים הבאים: מארח or כתובת האתר, השתמש בכתובת האתר אם ברצונך לציין את הפרוטוקול (ldap: //ldap.zevenet.com or ldaps: //ldap.zevenet.com).
  • אין צורך להשתמש בשדה יציאה במקרה שתגדיר כתובת אתר, היציאה אינהרנטית, אך אם יציאת LDAP המשמשת אינה ברירת המחדל, ציין כאן את היציאה.
  • ניתן להשתמש בשדה היקף כדי לציין באיזו רמת חיפוש להחיל, תַת: החיפוש מתבצע ב- DN Base Base המוגדר ובכל כל תת התיבות הזמינות. אחת: החיפוש נעשה ב- Base DN המוגדר וברמת המשנה הבאה. בסיס: החיפוש מתבצע רק ב- Base DN, ללא חיפוש ברמת משנה כלשהי.
  • שדה סינון משמש כתנאי, אם הנתון uid לא כולל את התכונה המצוינת כאן אז הכניסה תהיה שגויה גם אם הסיסמה נכונה. שדה זה משמש גם לשינוי התנהגות הכניסה למקרה שמערכת LDAP משתמשת במאפיין אחר למטרת התחברות, אז עליך לציין כאן את התכונה המשומשת במקום. לדוגמה, Active Directory משתמש בתכונה sAMAccountName לצורך כניסה, ואז שנה את המסנן כמצוין: (sAMAccountName =% s).
  • ניתן לשרשר מסננים כך שכל התנאים צריכים להתאים, למשל: (& (sAMAccountName =% s) (memberOf = CN = sysadmins, OU = yourOU, DC = yourcompany, DC = com)).
תשתף:

תיעוד על פי תנאי הרישיון לשימוש חופשי במסמכים של גנו.

האם המאמר הזה היה מועיל?

מאמרים נוספים