ロールベースのアクセス制御設定 #
Relianoid ロードバランサー 含ま 役割ベースのアクセス制御(RBAC) モジュールです。RBAC は、ユーザー、ロール、権限を中心に定義されたポリシー中立のアクセス制御メカニズムです。このモジュールは、さまざまなデータ ソースを接続し、特定のユーザー資格情報を要求します。
サポートされているデータの起源は次のとおりです。
LDAPユーザーは既存のLDAPシステムにログインします。例: OpenLDAP, Microsoft Active Directoryの およびその他の LDAP アプリケーション ソリューション。
コミュニティユーザーはローカルの Linux ユーザー データベース (/ etc / shadow).
検証システムの構成 #
上のスクリーンショットに示すように、検証システムは必要に応じて有効または無効にすることができます。複数の検証システムが有効になっている場合は、LDAPを介してユーザーをログアウトする試行が行われます。ユーザーが見つからない場合は、 ローカル データの出所(/ etc / shadow).
フィールドは 検証システム 表の内容は以下のとおりです。
システムログインしたユーザーの検証モジュールを定義します。このバージョンでは、 LDAP および コミュニティ サポートされています。LDAP 検証の場合は、このセクションの後の章で説明するようにシステムを構成する必要があります。
ステータスステータスは有効または無効です。 グリーン 検証システムがアクティブかどうかを示すインジケーター レッド 無効になっている場合。
サポートされているアクションは次のとおりです。
- お気軽にご連絡ください認証モジュールの使用を有効にします。
- Force Stop認証モジュールの使用を無効にします。
- 構成検証モジュールを設定し、LDAP コネクタが適切に構成されているかどうかを確認するためのいくつかのテストを実行します。
LDAP検証コネクタの構成 #
正しい LDAP コネクタを構成するには、これらのパラメータを入力する必要があります。
ホスト/URLLDAP にアクセスできるサーバー。
ポートLDAPサーバーがリッスンしているTCPポート。デフォルトでは389または636です。 LDAPS (SSL).
バインドDNLDAP サーバーで認証するときに使用する資格情報 (ユーザー名)。
パスワードをバインドのパスワードは バインドDN ユーザー。
ベースDNLDAP サーバーがユーザー認証の検索を開始するディレクトリ内のポイント。
対象領域このスコープは、LDAP 検索をどの程度深く実行するかを示します。
LDAP サーバーにアクセスする LDAP バージョンを指定します。
タイムアウト検索が見つからない場合の LDAP タイムアウト期間を決定します。
フィルター アプリケーションにアクセスできるユーザーまたはグループの数を指定または制限する属性。
以下の検索は、上記のフィールドを使用した例です。LDAPでユーザーが見つかったことに加え、 バインドDN ユーザー。
root@client:~$ ldapsearch -h ldap.relianoid.com -D cn=admin,dc=relianoid,dc=com -b ou=people,dc=relianoid,dc=com -W LDAPパスワードを入力: # 拡張LDIF # # LDAPv3 # ベーススコープ サブツリー付き # フィルター: (objectclass=*) # 要求: ALL # # people、relianoid.com dn: ou=people、dc=relianoid、dc=com objectClass: organizationalUnit objectClass: top ou: people # johndoe、people、relianoid.com dn: cn=johndoe、ou=people、dc=relianoid、dc=com cn: johndoe givenName: John gidNumber: 500 homeDirectory: /home/users/johndoe sn: doe loginShell: /bin/sh objectClass: inetOrgPerson objectClass: posixAccount objectClass: top uidNumber: 1000 uid: johndoe userPassword:: e2NSWVBUfXVLdXXXXFcxNGZaOGfdaJyZW8= # 検索結果 検索: 2 結果: 0 成功 #応答数: 3 # エントリ数: 2
属性 UID および password RBAC モジュール認証で使用されます。
必要な属性が確認され、LDAP 検索も機能すると、RBAC LDAP モジュールは以下のように構成されます。
- LDAPサーバー: ldap.relianoid.com .
- ポート: コマンドには含まれていないため、デフォルトでは 389 です。
- バインドDN: cn=admin、dc=relianoid、dc=com 。
- バインドDNパスワード: 秘密のパスワード。
- ベース検索: ou=人々、dc=レリアノイド、dc=com .
- フィルター : この例では使用されていません。
設定後にいくつかのアクションが利用可能になります。
- Apply新しい構成を送信して適用します。
- 接続性のテストLDAP 接続テストを開始します。
- 変更を元に戻す変更されたフォーム フィールドを最後に適用された値にリセットします。
#
主催者 フィールドは次の形式をサポートします: 主催者 or URLプロトコルを指定する場合はURLを使用します(ldap://ldap.relianoid.com or ldaps://ldap.relianoid.com).
ポート URL を構成する場合は、このフィールドを使用する必要はありません。ポートは固有ですが、使用される LDAP ポートがデフォルトでない場合は、ポートを指定します。
対象領域 フィールドを使用して、適用する検索レベルを示すことができます。 サブ: 検索は、設定されたベース DN と利用可能なすべてのサブレベルで実行されます。 1: 検索は、設定されたベース DN とサブレベルのワンステップ ヘッドで実行されます。 ベース(Base): 検索はサブレベルでの検索を行わず、ベース DN 内でのみ実行されます。
フィルター フィールドは条件として使用されます。 UID ここで指定された属性が含まれていない場合、パスワードが正しくてもログインは正しくありません。このフィールドは、LDAP システムがログインに別の属性を使用する場合のログイン動作を変更するためにも使用されます。ここで、使用する属性を指定する必要があります。たとえば、 Active Directory 属性を使用する sAMアカウント名 ログイン用。フィルターは、すべての条件が一致するように連結できます。例: (&(sAMAccountName=%s)(memberOf=CN=sysadmins,OU=yourOU,DC=yourcompany,DC=com)).
