النظام | RBAC | الإعدادات

نُشرت في 18 آذار / مارس 2020

الإعدادات

يشمل Zevenet Load Balancer RBAC وحدة (التحكم في الوصول المستند إلى الدور) ، وهي آلية للتحكم في الوصول محايدة من حيث السياسة محددة حول المستخدمين والأدوار والامتيازات ، وحدة RBAC هذه قادرة على الاتصال بمصدر بيانات مختلف وطلب مستخدم معين ، أصول البيانات المدعومة هي:

  • LDAP: يتم تسجيل المستخدمين مقابل نظام LDAP الحالي ، على سبيل المثال ، OpenLDAP و Microsoft Active Directory من بين حلول تطبيقات LDAP الأخرى.
  • محلّي: يتم تسجيل المستخدمين مقابل قاعدة بيانات مستخدمي Linux المحليين (/ etc / shadow).

تكوين نظام التحقق

كما هو موضح في لقطة الشاشة السابقة ، يمكن تمكين أنظمة التحقق أو تعطيلها حسب الحاجة ، في حالة تمكين أكثر من نظام تحقق واحد ، ستتم محاولة تسجيل دخول المستخدم أولاً من خلال LDAP ، إذا لم يتم العثور على المستخدم ثم محليا (/ etc / shadow).

الحقول في جدول نظام التحقق موصوفة أدناه:

  • System: يحدد وحدة التحقق من الصحة لمستخدمي تسجيل الدخول ، في هذا الإصدار تسجيل الدخول مقابل LDAP ويدعم محليًا ، في حالة التحقق من LDAP ، يحتاج النظام إلى تكوين كما هو موضح في الأسطر التالية
  • الحالة: ممكّن أو معطل ، يظهر في النقطة الخضراء إذا كان نظام التحقق هذا مستخدمًا أو نقطة حمراء في حالة تعطيله.
  • الإجراءات: الإجراءات المدعومة هي: تعطيل تمكين: من أجل تنشيط أو إلغاء تنشيط استخدام وحدة التحقق من الصحة و تكوين: يقوم بتهيئة وحدة التحقق وتشغيل بعض الاختبارات للتحقق من تكوين موصل LDAP بشكل صحيح.

تهيئة موصل التحقق من صحة LDAP

القيم المطلوبة لتكوين موصل LDAP الصحيح هي التالية:

  • خادم LDAP: المضيف حيث يمكن الوصول إلى LDAP.
  • ميناء: منفذ TCP حيث تستمع خدمة LDAP ، افتراضيًا 389 أو 636 لـ LDAPS (SSL)
  • ربط DN: المسار إلى المستخدم بأذونات البحث
  • ربط كلمة المرور: كلمة المرور لمستخدم Bind DN
  • البحث الأساسي: المسار حيث البحث من المستخدمين
  • تصفية: السمة التي يجب مطابقتها في المستخدم ليتم تحديدها ، على سبيل المثال ، عضو مجموعة معينة.

يشغل البحث التالي مثالاً مع الحقول الموصوفة سابقًا ، حيث يمكن إظهار أن المستخدم المحدد موجود في LDAP مع مستخدم DN ملزم لديه أذونات لإجراء عمليات البحث.

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e0NSWVBUfXVLdFcxNGZaOGfdaFyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

راجع السمة رقم تعريف الوحدة و كلمه السر، التي سيتم استخدامها في مصادقة وحدة RBAC.

بمجرد معرفة السمات المطلوبة والتحقق يدويًا من عمل بحث ldap ، يجب تكوين وحدة RBAC LDAP كما هو موضح أدناه:

  • خادم LDAP: ldap.zevenet.com
  • ميناء: غير المدرجة في الأمر ، لذلك بشكل افتراضي 389
  • ربط DN: cn = admin، dc = zevenet، dc = com
  • ربط كلمة المرور DN: كلمه السر
  • البحث الأساسي: ou = people، dc = zevenet، dc = com
  • تصفية: لا تستخدم في exmple

الاعتبارات

  • يدعم حقل المضيف التنسيقات التالية: مضيف or URL، استخدم عنوان URL إذا كنت تريد تحديد البروتوكول (ldap: //ldap.zevenet.com or ldaps: //ldap.zevenet.com).
  • لا يلزم استخدام حقل المنفذ في حالة تكوين عنوان URL ، يكون المنفذ ملازمًا لذلك ، ولكن إذا لم يكن منفذ LDAP المستخدم هو الافتراضي ، فحدد هنا المنفذ.
  • يمكن استخدام حقل النطاق للإشارة إلى مستوى البحث المطلوب تطبيقه ، فرعية: يتم البحث في Base DN المكوّن وجميع المستويات الفرعية المتاحة. واحد: يتم البحث في Base DN الذي تم تكوينه وفي المستوى الفرعي التالي. الفئة الأساسية: يتم البحث فقط في الاسم المميز الأساسي ، دون البحث في أي مستوى فرعي.
  • يستخدم حقل المرشح كشرط ، إذا كان ذلك محددًا رقم تعريف الوحدة لا يتضمن السمة المشار إليها هنا ، فسيكون تسجيل الدخول غير صحيح حتى لو كانت كلمة المرور صحيحة. يستخدم هذا الحقل أيضًا لتعديل سلوك تسجيل الدخول في حالة استخدام نظام LDAP لسمة أخرى لغرض تسجيل الدخول ، ثم يتعين عليك الإشارة هنا إلى السمة المستخدمة بدلاً من ذلك. على سبيل المثال ، يستخدم Active Directory السمة sAMAccountName لتسجيل الدخول ، ثم قم بتعديل عامل التصفية كما هو موضح: (sAMAccountName =٪ s).
  • يمكن أن تكون المرشحات متسلسلة بحيث يجب أن تتطابق جميع الشروط ، على سبيل المثال: (& (sAMAccountName =٪ s) (memberOf = CN = مسؤول النظام ، OU = yourOU ، DC = yourcompany ، DC = com)).
مشاركة مع :

وثائق بموجب شروط رخصة جنو للوثائق الحرة.

هل كان المقال مساعدا؟!

مقالات ذات صلة