システム| RBAC | 設定

投稿日: 25 年 2021 月 XNUMX 日

役割ベースのアクセス制御設定

ZEVENETロードバランサー 含ま 役割ベースのアクセス制御(RBAC) モジュール。 RBAC は、ユーザー、ロール、および特権に関して定義された、ポリシーに依存しないアクセス制御メカニズムです。 このモジュールは、さまざまなデータ オリジンを接続し、特定のユーザー資格情報を要求します。

これらは、サポートされているデータの発生元です。
LDAP. ユーザーは、既存の LDAP システムに対してログに記録されます。 OpenLDAP, Microsoft Active Directoryの およびその他の LDAP アプリケーション ソリューション。
ローカル. ユーザーはローカルに対してログに記録されます Linux ユーザー データベース (/ etc / shadow).

検証システム構成

上のスクリーンショットに示すように、検証システムは必要に応じて有効または無効にできます。 複数の検証システムが有効になっている場合、LDAP を介してユーザーをログアウトする試行が行われます。 ユーザーが見つからない場合は、 ローカル データの起源 (/ etc / shadow).

のフィールド 検証システム 表は次のとおりです。
エントルピー. ログインしたユーザーの検証モジュールを定義します。 このバージョンでは、 LDAP 及び ローカル がサポートされています。 LDAP 検証の場合、このセクションの後の章で説明するようにシステムを構成する必要があります。
状態. ステータスは、有効または無効のいずれかです。 を示します グリーン 検証システムが有効かどうかを示すインジケーター レッド 無効になっている場合。
アクション. サポートされているアクションは次のとおりです。

  • 開始. 認証モジュールの使用を有効にします。
  • 停止. 認証モジュールの使用を無効にします。
  • 構成. 検証モジュールをセットアップし、いくつかのテストを実行して、LDAP コネクタが適切に構成されているかどうかを確認します。

LDAP検証コネクターの構成

正しい LDAP コネクタを構成するには、これらのパラメータを入力する必要があります。

ホスト/ URL. LDAP にアクセスできるサーバー。
ポート. LDAP サーバーが listen している TCP ポート。 デフォルトでは、389 または 636 です。 LDAPS (SSL).
バインドDN. LDAP サーバーで認証するときに使用する資格情報 (ユーザー名)。
バインドパスワード. のパスワード バインドDN ユーザー。
ベースDN. LDAP サーバーがユーザー認証の検索を開始するディレクトリ内のポイント。
対象領域. このスコープは、LDAP 検索がどの程度深く行われるかを示します。
バージョン. LDAP サーバーにアクセスする LDAP バージョンを指定します。
タイムアウト. 検索が見つからない場合の LDAP タイムアウト期間を決定します。
フィルタ. アプリケーションにアクセスできるユーザーまたはグループの数を指定または制限する属性。

以下の検索は、上記のフィールドを使用した例です。 ユーザーが LDAP のほかに見つかっていることがわかります。 バインドDN ユーザー。

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e2NSWVBUfXVLdFcxNGZaOGfdaJyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

属性に注意してください UID 及び パスワード RBAC モジュール認証で使用されます。

必要な属性が確認され、LDAP 検索も機能すると、RBAC LDAP モジュールは以下に示すように構成されます。

  • LDAPサーバー: ldap.zevenet.com .
  • ポート: コマンドには含まれていないため、デフォルトでは 389 です。
  • バインドDN: cn=admin、dc=zevenet、dc=com 。
  • バインドDNパスワード: 秘密のパスワード。
  • 基本検索: ou=人、dc=ゼベネット、dc=com .
  • フィルタ: 例では使用されていません。

アクション. 構成後にいくつかのアクションを使用できます。

  • お申し込み. 新しい構成を送信して適用します。
  • 接続性のテスト. LDAP 接続テストを開始します。
  • 変更を元に戻す. 変更されたフォーム フィールドを最後に適用された値でリセットします。

考慮事項

ライブ、セミライブ、オンデマンドビデオ フィールドは次の形式をサポートしています。 ライブ、セミライブ、オンデマンドビデオ or URL. プロトコルを指定する場合は、URL を使用します (ldap://ldap.zevenet.com or ldaps://ldap.zevenet.com).
ポート URL を構成する場合は、フィールドを使用する必要はありません。 ポートは固有ですが、使用される LDAP ポートがデフォルトでない場合は、ポートを指定します。
対象領域 フィールドを使用して、適用する検索レベルを示すことができます。 サブ: 検索は、構成されたベース DN と使用可能なすべてのサブレベルで実行されます。 1: 検索は、設定されたベース DN とサブレベルのワンステップ ヘッドで実行されます。 ベース(Base): 検索はベース DN でのみ行われ、サブレベルは検索されません。
フィルタ フィールドが条件として使用されます。 与えられた場合 UID ここに示す属性が含まれていない場合、パスワードが正しくてもログインは正しくありません。 このフィールドは、LDAP システムがログイン目的で別の属性を使用する場合に、ログイン動作を変更するためにも使用されます。 ここで、使用される属性を示す必要があります。 例えば、 Active Directory 属性を使用します sAMアカウント名 ログイン用。 すべての条件が一致するようにフィルターを連結できます。次に例を示します。 (&(sAMAccountName =%s)(memberOf = CN = sysadmins、OU = yourOU、DC = yourcompany、DC = com)).

上の共有:

GNU Free Documentation Licenseの条項に基づくドキュメンテーション。

この記事は役に立ちましたか?

はい いいえ

関連記事