Conteúdo
Configurações
O Zevenet Load Balancer inclui um RBAC módulo (Controle de acesso baseado em função), é um mecanismo de controle de acesso sem política definido em torno de usuários, funções e privilégios. Este módulo RBAC pode se conectar a diferentes origens de dados e solicitar um determinado usuário. As origens de dados suportadas são:
- LDAP: Os usuários são registrados em um sistema LDAP existente, por exemplo, OpenLDAP, Microsoft Active Directory, entre outras soluções de aplicativos LDAP.
- Locais de: Os usuários são registrados no banco de dados de usuários locais do Linux (/ etc / shadow).
Configuração do sistema de validação
Como é mostrado na captura de tela anterior, os sistemas de validação podem ser ativados ou desativados conforme necessário, caso mais de um sistema de validação esteja ativado, o usuário tentará fazer logon primeiro pelo LDAP, se o usuário não for encontrado depois, localmente (/ etc / shadow).
Os campos na tabela Sistema de validação são descritos abaixo:
- System: Define o módulo de validação para usuários de logon; nesta versão, o logon no LDAP e no local é suportado; no caso de validação do LDAP, o sistema precisa ser configurado conforme explicado nas linhas a seguir
- Estado : Ativado ou desativado, mostra em ponto verde se este sistema de validação está sendo usado ou em vermelho se estiver desativado.
- Opções: As ações suportadas são: Desabilitado habilitado: para ativar ou desativar o uso deste módulo de validação e configurar: configura o módulo de validação e executa alguns testes para verificar se o conector LDAP está configurado corretamente.
Configurando o conector de validação LDAP
Os valores necessários para uma configuração correta do conector LDAP são os seguintes:
- Servidor LDAP: O host em que o LDAP está acessível.
- Porta: Porta TCP em que o serviço LDAP está atendendo, por padrão 389 ou 636 para LDAPS (SSL)
- DN da ligação: O caminho para o usuário com permissões de pesquisa
- Senha de Ligação: A senha para o usuário Bind DN
- Pesquisa base: O caminho onde a pesquisa dos usuários
- filtros: Atributo que precisa corresponder no usuário a ser selecionado, por exemplo, membro de um determinado grupo.
A pesquisa a seguir executa um exemplo com os campos descritos anteriormente, pois pode ser mostrado que o usuário especificado é encontrado no LDAP com um usuário DN de ligação com permissões para fazer pesquisas.
root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W Enter LDAP Password: # extended LDIF # # LDAPv3 # base <ou=people,dc=zevenet,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL # # people, zevenet.com dn: ou=people,dc=zevenet,dc=com objectClass: organizationalUnit objectClass: top ou: people # acano, people, zevenet.com dn: cn=acano,ou=people,dc=zevenet,dc=com cn: acano givenName: alvaro gidNumber: 500 homeDirectory: /home/users/acano sn: cano loginShell: /bin/sh objectClass: inetOrgPerson objectClass: posixAccount objectClass: top uidNumber: 1000 uid: acano userPassword:: e0NSWVBUfXVLdFcxNGZaOGfdaFyZW8= # search result search: 2 result: 0 Success # numResponses: 3 # numEntries: 2
Consulte o atributo uid e senha, que serão usados na autenticação do módulo RBAC.
Uma vez que os atributos necessários sejam conhecidos e verificados manualmente que a pesquisa ldap funciona, o módulo RBAC LDAP precisará ser configurado como mostrado abaixo:
- Servidor LDAPldap.zevenet.com
- Porta: não incluído no comando, portanto, por padrão 389
- DN da ligação: cn = admin, dc = zevenet, dc = com
- Senha do DN da ligação: Senha
- Pesquisa base: ou = pessoas, dc = zevenet, dc = com
- filtros: não usado no exemplo
Considerações
- O campo Host suporta os seguintes formatos: Proprietário or URL, use o URL se desejar especificar o protocolo (ldap: //ldap.zevenet.com or ldaps: //ldap.zevenet.com).
- O campo Porta não precisa ser usado no caso de você configurar uma URL, a porta é inerente então, mas se a porta LDAP usada não for a padrão, especifique aqui a porta.
- O campo Escopo pode ser usado para indicar qual nível de pesquisa aplicar, Sub: A pesquisa é feita no DN base configurado e em todos os subníveis disponíveis. Um: A pesquisa é feita no DN base configurado e no subnível a seguir. Fundo: A pesquisa é feita apenas no DN base, sem pesquisar em nenhum subnível.
- O campo Filtro é usado como uma condição, se o dado uid não inclui o atributo indicado aqui então o login estará incorreto mesmo se a senha estiver correta. Este campo também é usado para modificar o comportamento do login caso o sistema LDAP use outro atributo para o propósito de login, então você deve indicar aqui o atributo usado. Por exemplo, o Active Directory usa o atributo sAMAccountName para login e modifica o filtro conforme indicado: (sAMAccountName =% s).
- Os filtros podem ser concatenados para que todas as condições precisem corresponder, por exemplo: (& (sAMAccountName =% s) (memberOf = CN = sysadmins, OU = yourOU, DC = yourcompany, DC = com)).