Paramètres de contrôle d'accès basé sur les rôles #

Équilibreur de charge Relianoid comprend un Contrôle d'accès basé sur les rôles(RBAC (Contrôle d'accès basé sur le rôle)) modules. RBAC est un mécanisme de contrôle d'accès indépendant des politiques défini autour des utilisateurs, des rôles et des privilèges. Le module connecte diverses origines de données et demande certaines informations d'identification de l'utilisateur.

Il s'agit des origines de données prises en charge.
LDAP. Les utilisateurs sont connectés à un système LDAP existant, par exemple OpenLDAP, Microsoft Active Directory et d'autres solutions d'application LDAP.
Fournisseurs. Les utilisateurs sont connectés au local Base de données utilisateur Linux (/ etc / shadow).

Configuration du système de validation #

Comme le montre la capture d'écran ci-dessus, les systèmes de validation peuvent être activés ou désactivés selon les besoins. Dans le cas où plus d'un système de validation est activé, il y aura un essai pour déconnecter l'utilisateur via le LDAP. Si l'utilisateur n'est pas trouvé, il tentera de passer par le locales origine des données (/ etc / shadow).

Les champs dans le Système de validation tableau sont décrits ci-dessous :
Système. Définit le module de validation pour les utilisateurs connectés. Dans cette version, les connexions contre LDAP et Fournisseurs sont pris en charge. Dans le cas de la validation LDAP, le système doit être configuré comme expliqué dans les chapitres suivants de cette section.
. L'état est activé ou désactivé. Affiche un Vert indicateur si le système de validation est actif et Rouge s'il est désactivé.
Action. Les actions prises en charge sont :

• Start. Pour activer l'utilisation du module d'authentification.
• Arrêter. Pour désactiver l'utilisation du module d'authentification.
• Configurez. Pour configurer le module de validation et exécute quelques tests pour vérifier si le connecteur LDAP est correctement configuré.

Configuration du connecteur de validation LDAP #

Vous devez renseigner ces paramètres pour qu'un connecteur LDAP correct soit configuré.

Hôte/URL. Le serveur sur lequel le LDAP est accessible.
Port. Le port TCP sur lequel le serveur LDAP écoute. Par défaut, c'est 389 ou 636 pour LDAPS (SSL).
Bind DN. Les informations d'identification (nom d'utilisateur) à utiliser lors de l'authentification sur un serveur LDAP.
Lier le mot de passe. Le mot de passe pour le Bind DN utilisateur.
DN de base. Un point dans un répertoire où le serveur LDAP commence à rechercher l'authentification de l'utilisateur.
Domaine. Cette étendue indique la profondeur de la recherche LDAP.
Version. Spécifiez la version LDAP qui accédera au serveur LDAP.
Temps mort. Détermine la durée du délai d'attente LDAP au cas où il ne trouverait pas la recherche.
Filtre. Attribut qui spécifie ou limite le nombre d'utilisateurs ou de groupes pouvant accéder à une application.

La recherche ci-dessous est un exemple qui utilise les champs décrits ci-dessus. Vous pouvez voir qu'un utilisateur est trouvé dans le LDAP en plus du lier le DN utilisateur.

root@client :~$ ldapsearch -h ldap.relianoid.com -D cn=admin,dc=relianoid,dc=com -b ou=people,dc=relianoid,dc=com -W Entrez le mot de passe LDAP : # LDIF étendu # #LDAPv3#base avec sous-arbre de portée # filtre : (objectclass=*) # demande : TOUTES # # personnes, relianoid.com dn : ou=people,dc=relianoid,dc=com objectClass : organisationnelUnit objectClass : top ou : people # johndoe, people, relianoid .com dn : cn=johndoe,ou=people,dc=relianoid,dc=com cn : johndoe gaveName : John gidNumber : 500 répertoire personnel : /home/users/johndoe sn : doe loginShell : /bin/sh objectClass : inetOrgPerson objectClass : posixAccount objectClass : top uidNumber : 1000 uid : johndoe userPassword : e2NSWVBUfXVLdXXXXFcxNGZaOGfdaJyZW8= # résultat de recherche recherche : 2 résultat : 0 Succès # numResponses : 3 # numEntries : 2

Notez que l'attribut uid et doivent être utilisés dans l'authentification du module RBAC.

Une fois que les attributs requis sont confirmés et que la recherche LDAP fonctionne, le module RBAC LDAP sera configuré comme indiqué ci-dessous.

• Serveur LDAP: ldap.relianoid.com .
• Port: non inclus dans la commande, donc par défaut 389.
• Bind DN: cn=admin,dc=relianoid,dc=com .
• Lier le mot de passe DN: Mot de passe secret.
• Recherche de base: ou=personnes,dc=relianoid,dc=com .
• Filtre: non utilisé dans l'exemple.

Action. Certaines actions sont disponibles après la configuration.

• Appliquer. Soumettez et appliquez la nouvelle configuration.
• Test de connectivité. Lancez un test de connectivité LDAP.
• Rétablir les changements. Réinitialisez les champs de formulaire modifiés avec les dernières valeurs appliquées.

Points d’Usage à Anticiper #

Hôte prend en charge les formats suivants : Hôte or URL. Utilisez l'URL si vous souhaitez spécifier le protocole (ldap://ldap.relianoid.com or ldaps://ldap.relianoid.com).
Port Le champ n'a pas besoin d'être utilisé si vous configurez une URL. Le port est inhérent, mais si le port LDAP utilisé n'est pas celui par défaut, spécifiez le port.
Domaine permet d'indiquer le niveau de recherche à appliquer. Sol: La recherche se fait dans le Base DN configuré et tous les sous niveaux disponibles. UN: La recherche est effectuée dans le DN de base configuré et dans un sous-niveau en une étape. Base: La recherche se fait uniquement dans le DN de base sans chercher dans aucun sous-niveau.
Filtre champ est utilisé comme condition. Si un donné uid n'inclut pas l'attribut indiqué ici, alors la connexion sera incorrecte même si le mot de passe est correct. Ce champ est également utilisé pour modifier le comportement de connexion au cas où le système LDAP utilise un autre attribut à des fins de connexion. Vous devez indiquer ici l'attribut utilisé. Par exemple, Le tiering Active Directory utilise l'attribut sAMACompteName pour la connexion. Les filtres peuvent être concaténés afin que toutes les conditions correspondent, par exemple : (& (sAMAccountName =% s) (memberOf = CN = sysadmins, OU = yourOU, DC = yourcompany, DC = com)).