Sistema | RBAC Definições

PUBLICADO EM 18 de março de 2020

Configurações

O Zevenet Load Balancer inclui um RBAC módulo (Controle de acesso baseado em função), é um mecanismo de controle de acesso sem política definido em torno de usuários, funções e privilégios. Este módulo RBAC pode se conectar a diferentes origens de dados e solicitar um determinado usuário. As origens de dados suportadas são:

  • LDAP: Os usuários são registrados em um sistema LDAP existente, por exemplo, OpenLDAP, Microsoft Active Directory, entre outras soluções de aplicativos LDAP.
  • Locais de: Os usuários são registrados no banco de dados de usuários locais do Linux (/ etc / shadow).

Configuração do sistema de validação

Como é mostrado na captura de tela anterior, os sistemas de validação podem ser ativados ou desativados conforme necessário, caso mais de um sistema de validação esteja ativado, o usuário tentará fazer logon primeiro pelo LDAP, se o usuário não for encontrado depois, localmente (/ etc / shadow).

Os campos na tabela Sistema de validação são descritos abaixo:

  • Instantâneo: Define o módulo de validação para usuários de logon; nesta versão, o logon no LDAP e no local é suportado; no caso de validação do LDAP, o sistema precisa ser configurado conforme explicado nas linhas a seguir
  • Estado : Ativado ou desativado, mostra em ponto verde se este sistema de validação está sendo usado ou em vermelho se estiver desativado.
  • Opções: As ações suportadas são: Desabilitado habilitado: para ativar ou desativar o uso deste módulo de validação e configurar: configura o módulo de validação e executa alguns testes para verificar se o conector LDAP está configurado corretamente.

Configurando o conector de validação LDAP

Os valores necessários para uma configuração correta do conector LDAP são os seguintes:

  • Servidor LDAP: O host em que o LDAP está acessível.
  • Porta: Porta TCP em que o serviço LDAP está atendendo, por padrão 389 ou 636 para LDAPS (SSL)
  • DN da ligação: O caminho para o usuário com permissões de pesquisa
  • Senha de Ligação: A senha para o usuário Bind DN
  • Pesquisa base: O caminho onde a pesquisa dos usuários
  • filtros: Atributo que precisa corresponder no usuário a ser selecionado, por exemplo, membro de um determinado grupo.

A pesquisa a seguir executa um exemplo com os campos descritos anteriormente, pois pode ser mostrado que o usuário especificado é encontrado no LDAP com um usuário DN de ligação com permissões para fazer pesquisas.

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e0NSWVBUfXVLdFcxNGZaOGfdaFyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

Consulte o atributo uid e senha, que serão usados ​​na autenticação do módulo RBAC.

Uma vez que os atributos necessários sejam conhecidos e verificados manualmente que a pesquisa ldap funciona, o módulo RBAC LDAP precisará ser configurado como mostrado abaixo:

  • Servidor LDAP: ldap.zevenet.com
  • Porta: não incluído no comando, portanto, por padrão 389
  • DN da ligação: cn = admin, dc = zevenet, dc = com
  • Senha do DN da ligação: Senha
  • Pesquisa base: ou = pessoas, dc = zevenet, dc = com
  • filtros: não usado no exemplo

Considerações

  • O campo Host suporta os seguintes formatos: Proprietário or URL, use o URL se desejar especificar o protocolo (ldap: //ldap.zevenet.com or ldaps: //ldap.zevenet.com).
  • O campo Porta não precisa ser usado no caso de você configurar uma URL, a porta é inerente então, mas se a porta LDAP usada não for a padrão, especifique aqui a porta.
  • O campo Escopo pode ser usado para indicar qual nível de pesquisa aplicar, Sub: A pesquisa é feita no DN base configurado e em todos os subníveis disponíveis. Um: A pesquisa é feita no DN base configurado e no subnível a seguir. Fundo: A pesquisa é feita apenas no DN base, sem pesquisar em nenhum subnível.
  • O campo Filtro é usado como uma condição, se o dado uid não inclui o atributo indicado aqui então o login estará incorreto mesmo se a senha estiver correta. Este campo também é usado para modificar o comportamento do login caso o sistema LDAP use outro atributo para o propósito de login, então você deve indicar aqui o atributo usado. Por exemplo, o Active Directory usa o atributo sAMAccountName para login e modifica o filtro conforme indicado: (sAMAccountName =% s).
  • Os filtros podem ser concatenados para que todas as condições precisem corresponder, por exemplo: (& (sAMAccountName =% s) (memberOf = CN = sysadmins, OU = yourOU, DC = yourcompany, DC = com)).
Compartilhar no:

Documentação sob os termos da Licença de Documentação Livre GNU.

Esse artigo foi útil?

Artigos Relacionados