Rollenbasierte Zugriffssteuerungseinstellungen

ZEVENET-Load-Balancer enthält ein Rollenbasierte Zugriffssteuerung(RBAC) Modul. RBAC ist ein richtlinienneutraler Zugriffskontrollmechanismus, der für Benutzer, Rollen und Berechtigungen definiert ist. Das Modul verbindet verschiedene Datenquellen und fragt nach bestimmten Benutzerdaten.

Dies sind die unterstützten Datenquellen.
LDAP. Die Benutzer werden gegen ein bestehendes LDAP-System angemeldet, z OpenLDAP, Microsoft Active Directory und andere LDAP-Anwendungslösungen.
Lokale. Die Benutzer werden lokal angemeldet Linux-Benutzerdatenbank (/ etc / Schatten).

Konfiguration des Validierungssystems

Wie im obigen Screenshot gezeigt, können die Validierungssysteme nach Bedarf aktiviert oder deaktiviert werden. Falls mehr als ein Validierungssystem aktiviert ist, wird versucht, den Benutzer über das LDAP abzumelden. Wenn der Benutzer nicht gefunden wird, wird versucht, die lokal Datenherkunft (/ etc / Schatten).

Die Felder in der Validierungssystem Tabelle sind nachfolgend beschrieben:
System integrieren. Definiert das Validierungsmodul für angemeldete Benutzer. In dieser Version Anmeldungen gegen LDAP und Lokale sind unterstützt. Im Fall der LDAP-Validierung muss das System wie in den späteren Kapiteln dieses Abschnitts erläutert konfiguriert werden.
Status. Der Status ist entweder aktiviert oder deaktiviert. Zeigt ein Grün Anzeige, ob das Validierungssystem aktiv ist und Rot wenn es deaktiviert ist.
Aktionen. Die unterstützten Aktionen sind:

• Start. Um die Verwendung des Authentifizierungsmoduls zu aktivieren.
• Stoppen. Zum Deaktivieren der Verwendung des Authentifizierungsmoduls.
• Einrichtung. So richten Sie das Validierungsmodul ein und führen einige Tests durch, um zu überprüfen, ob der LDAP-Connector richtig konfiguriert ist.

Konfigurieren des LDAP-Validierungsconnectors

Sie müssen diese Parameter ausfüllen, damit ein korrekter LDAP-Connector konfiguriert wird.

Host/URL. Der Server, auf dem das LDAP zugänglich ist.
Hafen. Der TCP-Port, an dem der LDAP-Server lauscht. Standardmäßig ist es 389 oder 636 für LDAPS (SSL).
DN binden. Die Anmeldeinformationen (Benutzername), die bei der Authentifizierung bei einem LDAP-Server verwendet werden sollen.
Passwort binden. Das Passwort für die DN binden Benutzer.
Basis-DN. Ein Punkt innerhalb eines Verzeichnisses, an dem der LDAP-Server mit der Suche nach der Benutzerauthentifizierung beginnt.
Geltungsbereich. Dieser Bereich gibt an, wie tief die LDAP-Suche erfolgen soll.
Version. Geben Sie an, welche LDAP-Version auf den LDAP-Server zugreift.
Timeout. Legt die LDAP-Timeout-Dauer fest, falls die Suche nicht gefunden wird.
Filter. Ein Attribut, das die Anzahl der Benutzer oder Gruppen angibt oder begrenzt, die auf eine Anwendung zugreifen können.

Die folgende Suche ist ein Beispiel, das die oben beschriebenen Felder verwendet. Sie können sehen, dass neben dem ein Benutzer im LDAP gefunden wird DN binden Benutzer.

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e2NSWVBUfXVLdFcxNGZaOGfdaJyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

Beachten Sie, dass das Attribut uid und Passwort sind in der RBAC-Modul-Authentifizierung zu verwenden.

Sobald die erforderlichen Attribute bestätigt sind und auch die LDAP-Suche funktioniert, wird das RBAC-LDAP-Modul wie unten gezeigt konfiguriert.

• LDAP-Server: ldap.zevenet.com .
• Hafen: nicht im Befehl enthalten, also standardmäßig 389.
• DN binden: cn=admin,dc=zevenet,dc=com .
• DN-Passwort binden: Geheimes Passwort.
• Basissuche: ou=Menschen,dc=zevenet,dc=com .
• Filter: im Beispiel nicht verwendet.

Aktionen. Einige Aktionen sind nach der Konfiguration verfügbar.

• Zur Bewerbung. Senden Sie die neue Konfiguration und wenden Sie sie an.
• Testen Sie die Konnektivität. Starten Sie einen LDAP-Konnektivitätstest.
• Änderungen rückgängig machen. Setzen Sie die geänderten Formularfelder mit den zuletzt angewendeten Werten zurück.

Überlegungen

Gastgeber Feld unterstützt die folgenden Formate: Gastgeber or URL. Verwenden Sie die URL, wenn Sie das Protokoll angeben möchten (ldap: //ldap.zevenet.com or ldaps: //ldap.zevenet.com).
Hafen Feld muss nicht verwendet werden, falls Sie eine URL konfigurieren. Der Port ist inhärent, aber wenn der verwendete LDAP-Port nicht der Standardport ist, geben Sie den Port an.
Geltungsbereich Feld kann verwendet werden, um die anzuwendende Suchebene anzugeben. Sub: Die Suche erfolgt im konfigurierten Basis-DN und allen verfügbaren Unterebenen. Eine: Die Suche erfolgt im konfigurierten Base DN und in einem One-Step-Kopf der Unterebene. Basis: Die Suche wird nur im Basis-DN durchgeführt, ohne in irgendeiner Unterebene zu suchen.
Filter Feld wird als Bedingung verwendet. Wenn eine gegeben uid das hier angegebene Attribut nicht enthält, dann ist die Anmeldung falsch, selbst wenn das Passwort korrekt ist. Dieses Feld wird auch verwendet, um das Anmeldeverhalten zu ändern, falls das LDAP-System ein anderes Attribut für Anmeldezwecke verwendet. Hier müssen Sie das verwendete Attribut angeben. Zum Beispiel, Active Directory verwendet das Attribut sAMAccountName zum Einloggen. Filter können verkettet werden, sodass alle Bedingungen übereinstimmen, zum Beispiel: (& (sAMAccountName =% s) (memberOf = CN = sysadmins, OU = yourOU, DC = yourcompany, DC = com)).