システム| RBAC | 設定

投稿者 Zevenet | 18年2020月XNUMX日

設定

Zevenet Load Balancerには、 RBAC モジュール(役割ベースのアクセス制御)、これは、ユーザー、ロール、および権限を中心に定義されたポリシー中立のアクセス制御メカニズムです。このRBACモジュールは、異なるデータオリジンに接続して特定のユーザーを要求できます。サポートされているデータオリジンは次のとおりです。

  • LDAP:ユーザーは、他のLDAPアプリケーションソリューションの中でも、OpenLDAP、Microsoft Active Directoryなどの既存のLDAPシステムに対してログに記録されます。
  • ローカル:ユーザーは、ローカルLinuxユーザーのデータベース(/ etc / shadow)に対してログに記録されます。

検証システム構成

前のスクリーンショットに示されているように、ユーザーが見つからない場合、複数の検証システムが有効になっている場合、ユーザーは最初にLDAPを介してログオンしようとしますが、必要に応じて検証システムを有効または無効にできます。次に、ローカル(/ etc / shadow)。

検証システムテーブルのフィールドについて、以下で説明します。

  • エントルピー:ログインユーザーの検証モジュールを定義します。このバージョンでは、LDAPに対するログインがローカルでサポートされています。LDAP検証の場合、システムは次の行で説明するように構成する必要があります
  • 状態:有効または無効。この検証システムが使用されている場合は緑色の点で、無効な場合は赤色の点で表示されます。
  • アクション:サポートされているアクションは次のとおりです。 有効化、無効化:この検証モジュールの使用をアクティブまたは非アクティブにするために、 configure:検証モジュールを構成し、いくつかのテストを実行して、LDAPコネクターが正しく構成されていることを確認します。

LDAP検証コネクターの構成

正しいLDAPコネクター構成に必要な値は次のとおりです。

  • LDAPサーバー:LDAPにアクセスできるホスト。
  • ポート:LDAPサービスがリッスンしているTCPポート、デフォルトではLDAPS(SSL)の場合は389または636
  • バインドDN:検索権限を持つユーザーへのパス
  • バインドパスワード:バインドDNユーザーのパスワード
  • 基本検索:ユーザーから検索するパス
  • フィルタ:特定のグループのメンバーなど、選択するユーザーで一致する必要がある属性。

次の検索は、前述のフィールドを使用して例を実行します。これは、指定されたユーザーが、検索を実行する権限を持つバインドDNユーザーを持つLDAPで見つかったことが示されているためです。

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e0NSWVBUfXVLdFcxNGZaOGfdaFyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

属性を参照してください UID 及び パスワード、これはRBACモジュール認証で使用されます。

必要な属性がわかっていて、LDAP検索が機能することを手動で確認したら、RBAC LDAPモジュールを次のように構成する必要があります。

  • LDAPサーバー:ldap.zevenet.com
  • ポート:コマンドに含まれていないため、デフォルトでは389
  • バインドDN:cn = admin、dc = zevenet、dc = com
  • バインドDNパスワード:パスワード
  • 基本検索:ou = people、dc = zevenet、dc = com
  • フィルタ:例では使用されていません

考慮事項

  • ホストフィールドは次の形式をサポートします。 ライブ、セミライブ、オンデマンドビデオ or URL、プロトコルを指定する場合はURLを使用します(ldap://ldap.zevenet.com or ldaps://ldap.zevenet.com).
  • URLを設定する場合、ポートフィールドを使用する必要はありません。ポートは固有ですが、使用するLDAPポートがデフォルトでない場合は、ここでポートを指定します。
  • 適用する検索レベルを指定するには、スコープフィールドを使用できます。 サブ:検索は、構成済みのベースDNおよび使用可能なすべてのサブレベルで行われます。 1:検索は、設定されたベースDNと次のサブレベルで行われます。 ベース:検索はベースDNでのみ実行され、サブレベルでは検索されません。
  • 与えられた場合、フィルターフィールドは条件として使用されます UID ここに示されている属性が含まれていない場合、パスワードが正しい場合でもログインは正しくありません。 このフィールドは、LDAPシステムがログイン目的で別の属性を使用する場合にログイン動作を変更するためにも使用されます。代わりに、ここで使用されている属性を指定する必要があります。 たとえば、Active Directoryはログインに属性sAMAccountNameを使用し、次に示すようにフィルターを変更します。 (sAMAccountName =%s).
  • フィルタは連結できるため、すべての条件が一致する必要があります。次に例を示します。 (&(sAMAccountName =%s)(memberOf = CN = sysadmins、OU = yourOU、DC = yourcompany、DC = com)).
上の共有:

GNU Free Documentation Licenseの条項に基づくドキュメンテーション。

この記事は役に立ちましたか?

関連記事