الإعدادات
يشمل Zevenet Load Balancer RBAC وحدة (التحكم في الوصول المستند إلى الدور) ، وهي آلية للتحكم في الوصول محايدة من حيث السياسة محددة حول المستخدمين والأدوار والامتيازات ، وحدة RBAC هذه قادرة على الاتصال بمصدر بيانات مختلف وطلب مستخدم معين ، أصول البيانات المدعومة هي:
- LDAP: يتم تسجيل المستخدمين مقابل نظام LDAP الحالي ، على سبيل المثال ، OpenLDAP و Microsoft Active Directory من بين حلول تطبيقات LDAP الأخرى.
- محلّي: يتم تسجيل المستخدمين مقابل قاعدة بيانات مستخدمي Linux المحليين (/ etc / shadow).
تكوين نظام التحقق
كما هو موضح في لقطة الشاشة السابقة ، يمكن تمكين أنظمة التحقق أو تعطيلها حسب الحاجة ، في حالة تمكين أكثر من نظام تحقق واحد ، ستتم محاولة تسجيل دخول المستخدم أولاً من خلال LDAP ، إذا لم يتم العثور على المستخدم ثم محليا (/ etc / shadow).
الحقول في جدول نظام التحقق موصوفة أدناه:
- System: يحدد وحدة التحقق من الصحة لمستخدمي تسجيل الدخول ، في هذا الإصدار تسجيل الدخول مقابل LDAP ويدعم محليًا ، في حالة التحقق من LDAP ، يحتاج النظام إلى تكوين كما هو موضح في الأسطر التالية
- الحالة: ممكّن أو معطل ، يظهر في النقطة الخضراء إذا كان نظام التحقق هذا مستخدمًا أو نقطة حمراء في حالة تعطيله.
- الإجراءات: الإجراءات المدعومة هي: تعطيل تمكين: من أجل تنشيط أو إلغاء تنشيط استخدام وحدة التحقق من الصحة و تكوين: يقوم بتهيئة وحدة التحقق وتشغيل بعض الاختبارات للتحقق من تكوين موصل LDAP بشكل صحيح.
تهيئة موصل التحقق من صحة LDAP
القيم المطلوبة لتكوين موصل LDAP الصحيح هي التالية:
- خادم LDAP: المضيف حيث يمكن الوصول إلى LDAP.
- ميناء: منفذ TCP حيث تستمع خدمة LDAP ، افتراضيًا 389 أو 636 لـ LDAPS (SSL)
- ربط DN: المسار إلى المستخدم بأذونات البحث
- ربط كلمة المرور: كلمة المرور لمستخدم Bind DN
- البحث الأساسي: المسار حيث البحث من المستخدمين
- تصفية: السمة التي يجب مطابقتها في المستخدم ليتم تحديدها ، على سبيل المثال ، عضو مجموعة معينة.
يشغل البحث التالي مثالاً مع الحقول الموصوفة سابقًا ، حيث يمكن إظهار أن المستخدم المحدد موجود في LDAP مع مستخدم DN ملزم لديه أذونات لإجراء عمليات البحث.
root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W Enter LDAP Password: # extended LDIF # # LDAPv3 # base <ou=people,dc=zevenet,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL # # people, zevenet.com dn: ou=people,dc=zevenet,dc=com objectClass: organizationalUnit objectClass: top ou: people # acano, people, zevenet.com dn: cn=acano,ou=people,dc=zevenet,dc=com cn: acano givenName: alvaro gidNumber: 500 homeDirectory: /home/users/acano sn: cano loginShell: /bin/sh objectClass: inetOrgPerson objectClass: posixAccount objectClass: top uidNumber: 1000 uid: acano userPassword:: e0NSWVBUfXVLdFcxNGZaOGfdaFyZW8= # search result search: 2 result: 0 Success # numResponses: 3 # numEntries: 2
راجع السمة رقم تعريف الوحدة و كلمه السر، التي سيتم استخدامها في مصادقة وحدة RBAC.
بمجرد معرفة السمات المطلوبة والتحقق يدويًا من عمل بحث ldap ، يجب تكوين وحدة RBAC LDAP كما هو موضح أدناه:
- خادم LDAP: ldap.zevenet.com
- ميناء: غير المدرجة في الأمر ، لذلك بشكل افتراضي 389
- ربط DN: cn = admin، dc = zevenet، dc = com
- ربط كلمة المرور DN: كلمه السر
- البحث الأساسي: ou = people، dc = zevenet، dc = com
- تصفية: لا تستخدم في exmple
الاعتبارات
- يدعم حقل المضيف التنسيقات التالية: مضيف or URL، استخدم عنوان URL إذا كنت تريد تحديد البروتوكول (ldap: //ldap.zevenet.com or ldaps: //ldap.zevenet.com).
- لا يلزم استخدام حقل المنفذ في حالة تكوين عنوان URL ، يكون المنفذ ملازمًا لذلك ، ولكن إذا لم يكن منفذ LDAP المستخدم هو الافتراضي ، فحدد هنا المنفذ.
- يمكن استخدام حقل النطاق للإشارة إلى مستوى البحث المطلوب تطبيقه ، فرعية: يتم البحث في Base DN المكوّن وجميع المستويات الفرعية المتاحة. واحد: يتم البحث في Base DN الذي تم تكوينه وفي المستوى الفرعي التالي. الفئة الأساسية: يتم البحث فقط في الاسم المميز الأساسي ، دون البحث في أي مستوى فرعي.
- يستخدم حقل المرشح كشرط ، إذا كان ذلك محددًا رقم تعريف الوحدة لا يتضمن السمة المشار إليها هنا ، فسيكون تسجيل الدخول غير صحيح حتى لو كانت كلمة المرور صحيحة. يستخدم هذا الحقل أيضًا لتعديل سلوك تسجيل الدخول في حالة استخدام نظام LDAP لسمة أخرى لغرض تسجيل الدخول ، ثم يتعين عليك الإشارة هنا إلى السمة المستخدمة بدلاً من ذلك. على سبيل المثال ، يستخدم Active Directory السمة sAMAccountName لتسجيل الدخول ، ثم قم بتعديل عامل التصفية كما هو موضح: (sAMAccountName =٪ s).
- يمكن أن تكون المرشحات متسلسلة بحيث يجب أن تتطابق جميع الشروط ، على سبيل المثال: (& (sAMAccountName =٪ s) (memberOf = CN = مسؤول النظام ، OU = yourOU ، DC = yourcompany ، DC = com)).