النظام | RBAC | الإعدادات

نُشرت في 25 أكتوبر 2021

إعدادات التحكم في الوصول حسب الدور

موازن تحميل ZEVENET يتضمن التحكم في الوصول المستند إلى الدور(RBAC) وحدة. RBAC عبارة عن آلية تحكم في الوصول محايدة للسياسة محددة حول المستخدمين والأدوار والامتيازات. تقوم الوحدة بتوصيل أصول البيانات المختلفة وتطلب بيانات اعتماد معينة للمستخدم.

هذه هي أصول البيانات المدعومة.
LDAP. يتم تسجيل المستخدمين مقابل نظام LDAP موجود ، على سبيل المثال ب OpenLDAP, مايكروسوفت الدليل النشط وحلول تطبيقات LDAP الأخرى.
محلّي. يتم تسجيل المستخدمين مقابل المحلي قاعدة بيانات مستخدمي Linux (/ الخ / الظل).

تكوين نظام التحقق

كما هو موضح في لقطة الشاشة أعلاه ، قد يتم تمكين أنظمة التحقق أو تعطيلها حسب الحاجة. في حالة تمكين أكثر من نظام تحقق ، ستكون هناك تجربة لتسجيل خروج المستخدم من خلال LDAP. إذا لم يتم العثور على المستخدم ، فسيحاول من خلال محلي أصل البيانات (/ الخ / الظل).

الحقول في نظام التحقق الجدول موصوف أدناه:
System. يحدد وحدة التحقق للمستخدمين الذين قاموا بتسجيل الدخول. في هذا الإصدار ، تسجيلات الدخول ضد LDAP و محلّي مدعمون. في حالة التحقق من صحة LDAP ، يجب تكوين النظام كما هو موضح في الفصول اللاحقة من هذا القسم.
الحالة. الحالة إما ممكّنة أو معطلة. يظهر Green مؤشر ما إذا كان نظام التحقق نشطًا و أحمر إذا تم تعطيله.
الإجراءات. الإجراءات المدعومة هي:

  • إبدأ. لتفعيل استخدام وحدة المصادقة.
  • قلة النوم. لإلغاء تنشيط استخدام وحدة المصادقة.
  • ضبط. لإعداد وحدة التحقق من الصحة وتشغيل بعض الاختبارات للتحقق مما إذا كان موصل LDAP قد تم تكوينه بشكل صحيح.

تهيئة موصل التحقق من صحة LDAP

يجب عليك ملء هذه المعلمات لتهيئة موصل LDAP الصحيح.

المضيف / URL. الخادم حيث يمكن الوصول إلى LDAP.
ميناء. منفذ TCP حيث يستمع خادم LDAP. بشكل افتراضي ، يكون 389 أو 636 من أجل LDAPS (SSL).
ربط DN. بيانات الاعتماد (اسم المستخدم) المطلوب استخدامها عند المصادقة في خادم LDAP.
ربط كلمة المرور. كلمة المرور الخاصة بـ ربط DN المستخدم.
قاعدة DN. نقطة داخل الدليل حيث يبدأ خادم LDAP في البحث عن مصادقة المستخدم.
مجال. يشير هذا النطاق إلى مدى عمق بحث LDAP.
التجريبية. حدد إصدار LDAP الذي سيصل إلى خادم LDAP.
مهلة. يحدد مدة مهلة LDAP في حالة عدم العثور على البحث.
تصفية. سمة تحدد أو تحدد عدد المستخدمين أو المجموعات التي يمكنها الوصول إلى التطبيق.

البحث أدناه هو مثال يستخدم الحقول الموضحة أعلاه. يمكنك أن ترى أنه تم العثور على مستخدم في LDAP بجانب ملف ربط DN المستخدم.

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e2NSWVBUfXVLdFcxNGZaOGfdaJyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

لاحظ أن السمة رقم تعريف الوحدة و كلمه السر تستخدم في مصادقة وحدة RBAC.

بمجرد تأكيد السمات المطلوبة وعمل بحث LDAP أيضًا ، سيتم تكوين وحدة RBAC LDAP كما هو موضح أدناه.

  • خادم LDAP: ldap.zevenet.com .
  • ميناء: غير مدرج في الأمر ، لذلك بشكل افتراضي 389.
  • ربط DN: cn = admin ، dc = zevenet ، dc = com.
  • ربط كلمة المرور DN: كلمة السر السرية.
  • البحث الأساسي: ou = الناس ، dc = zevenet ، dc = com .
  • تصفية: لا تستخدم في المثال.

الإجراءات. تتوفر بعض الإجراءات بعد التكوين.

  • تطبيق. إرسال وتطبيق التكوين الجديد.
  • اختبار الاتصال. ابدأ اختبار اتصال LDAP.
  • التغيرات المرتدة. أعد تعيين حقول النموذج المعدلة بالقيم المطبقة الأخيرة.

الاعتبارات

مضيف يدعم الحقل التنسيقات التالية: مضيف or URL. استخدم عنوان URL إذا كنت تريد تحديد البروتوكول (ldap: //ldap.zevenet.com or ldaps: //ldap.zevenet.com).
ميناء لا يلزم استخدام الحقل في حالة تكوين عنوان URL. المنفذ متأصل ، ولكن إذا لم يكن منفذ LDAP المستخدم هو الافتراضي ، فحدد المنفذ.
مجال يمكن استخدام الحقل للإشارة إلى مستوى البحث المطلوب تقديمه. فرعية: يتم البحث في Base DN الذي تم تكوينه وجميع المستويات الفرعية المتاحة. واحد: يتم البحث في Base DN الذي تم تكوينه وفي مستوى فرعي من خطوة واحدة. الفئة الأساسية: يتم البحث فقط في Base DN دون البحث في أي مستوى فرعي.
تصفية يتم استخدام الحقل كشرط. إذا كان رقم تعريف الوحدة لا يتضمن السمة المشار إليها هنا ، فسيكون تسجيل الدخول غير صحيح حتى لو كانت كلمة المرور صحيحة. يستخدم هذا الحقل أيضًا لتعديل سلوك تسجيل الدخول في حالة استخدام نظام LDAP لسمة أخرى لأغراض تسجيل الدخول. يجب أن تشير هنا إلى السمة المستخدمة. فمثلا، نشط الدليل يستخدم السمة sAMAccountName لتسجيل الدخول. يمكن ربط الفلاتر بحيث تتطابق جميع الشروط ، على سبيل المثال: (& (sAMAccountName =٪ s) (memberOf = CN = مسؤول النظام ، OU = yourOU ، DC = yourcompany ، DC = com)).

مشاركة مع :

وثائق بموجب شروط رخصة جنو للوثائق الحرة.

هل كان المقال مساعدا؟!

نعم لا

مقالات ذات صلة