הגדרות בקרת גישה מבוססת תפקידים

איזון עומסים ZEVENET כולל בקרת גישה מבוססת תפקיד(RBAC) מודול. RBAC הוא מנגנון בקרת גישה ניטרלי למדיניות המוגדר סביב משתמשים, תפקידים והרשאות. המודול מחבר בין מקורות נתונים שונים ומבקש אישורי משתמש מסוימים.

אלו הם מקורות הנתונים הנתמכים.
LDAP. המשתמשים מחוברים למערכת LDAP קיימת, למשל OpenLDAP, מדריך Active Directory של מיקרוסופט ופתרונות יישומי LDAP אחרים.
מקומי. המשתמשים נרשמים מול המקומי מסד נתונים של משתמשי לינוקס (/ וכו '/ צל).

תצורת מערכת אימות

כפי שמוצג בצילום המסך למעלה, מערכות האימות עשויות להיות מופעלות או מושבתות לפי הצורך. במקרה שבו יותר ממערכת אימות אחת מופעלת, תהיה ניסיון ליציאה מהמשתמש דרך ה-LDAP. אם המשתמש לא נמצא, הוא ינסה לעבור את מקומי מקור הנתונים (/ וכו '/ צל).

השדות ב מערכת אימות הטבלה מתוארת להלן:
מערכת. מגדיר את מודול האימות עבור משתמשים מחוברים. בגרסה זו, התחברות נגד LDAP ו מקומי נתמכים. במקרה של אימות LDAP, יש להגדיר את המערכת כפי שהוסבר בפרקים המאוחרים של סעיף זה.
מצב. הסטטוס מופעל או מושבת. מציג א ירוק מחוון אם מערכת האימות פעילה ו אָדוֹם אם הוא מושבת.
פעולות. הפעולות הנתמכות הן:

• הַתחָלָה. כדי להפעיל את השימוש במודול האימות.
• עצור. כדי לבטל את השימוש במודול האימות.
• גדר. כדי להגדיר את מודול האימות ולהריץ כמה בדיקות כדי לבדוק אם מחבר ה-LDAP מוגדר כהלכה.

הגדרת מחבר אימות LDAP

עליך למלא פרמטרים אלה כדי להגדיר מחבר LDAP נכון.

מארח/כתובת אתר. השרת שבו ה-LDAP נגיש.
נָמָל. יציאת ה-TCP שבה שרת ה-LDAP מאזין. כברירת מחדל, הוא 389 או 636 עבור LDAPS (SSL).
לאגד את ד.נ.. האישורים (שם משתמש) לשימוש בעת אימות בשרת LDAP.
כבל סיסמא. הסיסמה עבור לאגד את ד.נ. המשתמש.
בסיס DN. נקודה בתוך ספרייה שבה שרת ה-LDAP מתחיל לחפש אימות משתמש.
היקף. היקף זה מציין כמה עמוק צריך להתרחש חיפוש LDAP.
גִרְסָה. ציין איזו גרסת LDAP תיגש לשרת LDAP.
פסק זמן. קובע את משך הזמן הקצוב של LDAP למקרה שהוא לא מוצא את החיפוש.
סינון. תכונה שמציינת או מגבילה את מספר המשתמשים או הקבוצות שיכולים לגשת לאפליקציה.

החיפוש שלהלן הוא דוגמה המשתמשת בשדות שתוארו לעיל. אתה יכול לראות שמשתמש נמצא ב-LDAP מלבד לאגד DN המשתמש.

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e2NSWVBUfXVLdFcxNGZaOGfdaJyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

שימו לב שהתכונה uid ו סיסמא יש להשתמש באימות מודול RBAC.

לאחר אישור התכונות הנדרשות וגם חיפוש LDAP עובד, מודול RBAC LDAP יוגדר כפי שמוצג להלן.

• שרת LDAP: ldap.zevenet.com .
• נָמָל: לא כלול בפקודה, אז כברירת מחדל 389.
• לאגד את ד.נ.: cn=admin,dc=zevenet,dc=com .
• כבל את סיסמת DN: סיסמה סודית.
• חיפוש בסיסי: ou=אנשים,dc=zevenet,dc=com .
• סינון: לא בשימוש בדוגמה.

פעולות. חלק מהפעולות זמינות לאחר ההגדרה.

• החל. שלח והחל את התצורה החדשה.
• בדוק קישוריות. הפעל בדיקת קישוריות LDAP.
• החזר שינויים. אפס את שדות הטופס שהשתנו עם הערכים שהוחלו לאחרונה.

שיקולים

מארח השדה תומך בפורמטים הבאים: מארח or כתובת האתר. השתמש בכתובת האתר אם ברצונך לציין את הפרוטוקול (ldap: //ldap.zevenet.com or ldaps: //ldap.zevenet.com).
נָמָל אין צורך להשתמש בשדה במקרה שתגדיר כתובת URL. היציאה אינהרנטית, אך אם יציאת ה-LDAP המשומשת אינה ברירת המחדל, ציין את היציאה.
היקף ניתן להשתמש בשדה כדי לציין את רמת החיפוש שיש להחיל. תַת: החיפוש מתבצע ב-Base DN המוגדר ובכל רמות המשנה הזמינות. אחת: החיפוש נעשה ב-Base DN המוגדר ובראש שלב אחד ברמת תת-רמה. בסיס: החיפוש מתבצע רק ב-Base DN ללא חיפוש בכל תת-רמה.
סינון השדה משמש כתנאי. אם נתון uid אינו כולל את התכונה המצוינת כאן, אז הכניסה תהיה שגויה גם אם הסיסמה נכונה. שדה זה משמש גם לשינוי התנהגות הכניסה למקרה שמערכת LDAP משתמשת בתכונה אחרת למטרות כניסה. עליך לציין כאן את התכונה בשימוש. לדוגמה, של Active Directory משתמש בתכונה sAMAccountName לכניסה. ניתן לשרשר מסננים כך שכל התנאים יתאימו, למשל: (& (sAMAccountName =% s) (memberOf = CN = sysadmins, OU = yourOU, DC = yourcompany, DC = com)).