System | RBAC | die Einstellungen

GESCHRIEBEN VON Zevenet | 18. März 2020

Einstellungen

Zevenet Load Balancer enthält eine RBAC Modul (Rollenbasierte Zugriffssteuerung), es ist ein richtlinienneutraler Zugriffskontrollmechanismus, der für Benutzer, Rollen und Berechtigungen definiert ist. Dieses RBAC-Modul kann eine Verbindung zu verschiedenen Datenursprüngen herstellen und nach einem bestimmten Benutzer fragen. Die unterstützten Datenursprünge sind:

  • LDAP: Die Benutzer werden gegen ein vorhandenes LDAP-System protokolliert, z. B. OpenLDAP, Microsoft Active Directory und andere LDAP-Anwendungslösungen.
  • Lokaler: Die Benutzer werden in der lokalen Linux-Benutzerdatenbank (/ etc / shadow) protokolliert.

Konfiguration des Validierungssystems

Wie im vorherigen Screenshot gezeigt, können die Validierungssysteme nach Bedarf aktiviert oder deaktiviert werden. Wenn mehr als ein Validierungssystem aktiviert ist, wird versucht, sich zuerst über LDAP anzumelden, wenn der Benutzer nicht gefunden wird dann lokal (/ etc / shadow).

Die Felder in der Validierungssystemtabelle werden nachfolgend beschrieben:

  • System: Definiert das Validierungsmodul für angemeldete Benutzer. In dieser Version wird die Anmeldung gegen LDAP und lokal unterstützt. Im Falle einer LDAP-Validierung muss das System wie in den folgenden Zeilen erläutert konfiguriert werden
  • Kategorie: Aktiviert oder deaktiviert, zeigt im grünen Punkt an, ob dieses Validierungssystem verwendet wird, oder im roten Punkt, wenn es deaktiviert ist.
  • Aktionen: Die unterstützten Aktionen sind: Deaktivieren aktivieren: um die Verwendung dieses Validierungsmoduls zu aktivieren oder zu deaktivieren und konfigurieren: Es konfiguriert das Validierungsmodul und führt einige Tests aus, um zu überprüfen, ob der LDAP-Connector ordnungsgemäß konfiguriert ist.

Konfigurieren des LDAP-Validierungsconnectors

Die erforderlichen Werte für eine korrekte LDAP-Connector-Konfiguration sind folgende:

  • LDAP-Server: Der Host, auf den auf LDAP zugegriffen werden kann.
  • Hafen: TCP-Port, an dem der LDAP-Dienst empfangsbereit ist, standardmäßig 389 oder 636 für LDAPS (SSL)
  • DN binden: Der Pfad zum Benutzer mit Suchberechtigungen
  • Passwort binden: Das Passwort für den Bind DN-Benutzer
  • Basissuche: Der Pfad, in dem die Benutzer suchen
  • Filter: Attribut, das mit dem ausgewählten Benutzer übereinstimmen muss, z. B. Mitglied einer bestimmten Gruppe.

Die folgende Suche führt ein Beispiel mit den zuvor beschriebenen Feldern aus, da gezeigt werden kann, dass der angegebene Benutzer im LDAP mit einem Bindungs-DN-Benutzer mit Berechtigungen zum Durchführen von Suchvorgängen gefunden wird.

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e0NSWVBUfXVLdFcxNGZaOGfdaFyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

Siehe das Attribut uid Passwort, die bei der RBAC-Modulauthentifizierung verwendet werden.

Sobald die erforderlichen Attribute bekannt sind und manuell überprüft werden, ob die LDAP-Suche funktioniert, muss das RBAC-LDAP-Modul wie folgt konfiguriert werden:

  • LDAP-Server: ldap.zevenet.com
  • Hafen: nicht im Befehl enthalten, also standardmäßig 389
  • DN binden: cn = admin, dc = zevenet, dc = com
  • DN-Passwort binden: Passwort
  • Basissuche: ou = Menschen, dc = zevenet, dc = com
  • Filter: im Beispiel nicht verwendet

Überlegungen

  • Das Hostfeld unterstützt die folgenden Formate: Gastgeber or URLVerwenden Sie die URL, wenn Sie das Protokoll angeben möchten (ldap: //ldap.zevenet.com or ldaps: //ldap.zevenet.com).
  • Das Feld "Port" muss nicht verwendet werden, wenn Sie eine URL konfigurieren. Der Port ist dann inhärent. Wenn der verwendete LDAP-Port jedoch nicht der Standardport ist, geben Sie hier den Port an.
  • Das Bereichsfeld kann verwendet werden, um anzugeben, welche Suchebene angewendet werden soll. Sub: Die Suche erfolgt im konfigurierten Basis-DN und allen verfügbaren Unterebenen. Eine: Die Suche erfolgt im konfigurierten Basis-DN und in der folgenden Unterebene. Basis: Die Suche wird nur im Basis-DN durchgeführt, ohne in einer Unterebene zu suchen.
  • Das Filterfeld wird als Bedingung verwendet, wenn dies angegeben ist uid Wenn das hier angegebene Attribut nicht enthalten ist, ist die Anmeldung auch dann falsch, wenn das Kennwort korrekt ist. Dieses Feld wird auch verwendet, um das Anmeldeverhalten zu ändern, falls das LDAP-System ein anderes Attribut für Anmeldezwecke verwendet. Dann müssen Sie hier das verwendete Attribut angeben. Beispielsweise verwendet Active Directory das Attribut sAMAccountName für die Anmeldung und ändert den Filter wie folgt: (sAMAccountName =% s).
  • Filter können verkettet werden, sodass alle Bedingungen übereinstimmen müssen, zum Beispiel: (& (sAMAccountName =% s) (memberOf = CN = sysadmins, OU = yourOU, DC = yourcompany, DC = com)).
Teilen:

Dokumentation unter den Bedingungen der GNU Free Documentation License.

War dieser Artikel hilfreich?

Verwandte Artikel