역할 기반 액세스 제어 설정

ZEVENET로드 밸런서 포함하는 역할 기반 액세스 제어(RBAC) 모듈. RBAC는 사용자, 역할 및 권한을 중심으로 정의된 정책 중립적 액세스 제어 메커니즘입니다. 모듈은 다양한 데이터 출처를 연결하고 특정 사용자 자격 증명을 요청합니다.

다음은 지원되는 데이터 원본입니다.
LDAP. 사용자는 기존 LDAP 시스템에 대해 기록됩니다. 예: OpenLDAP, 마이크로 소프트 액티브 디렉토리 및 기타 LDAP 애플리케이션 솔루션.
지방의. 사용자는 로컬에 대해 기록됩니다. 리눅스 사용자 데이터베이스 (/ etc / 그림자).

검증 시스템 구성

위의 스크린샷과 같이 필요에 따라 유효성 검사 시스템을 활성화하거나 비활성화할 수 있습니다. 둘 이상의 유효성 검사 시스템이 활성화된 경우 LDAP를 통해 사용자를 로그아웃하기 위한 시도가 있습니다. 사용자가 발견되지 않으면 다음을 통해 시도합니다. 지방의 데이터 출처(/ etc / 그림자).

필드 검증 시스템 표는 아래에 설명되어 있습니다.
. 로그인한 사용자에 대한 유효성 검사 모듈을 정의합니다. 이 버전에서 로그인 대상 LDAP 및 지방의 지원됩니다. LDAP 유효성 검사의 경우 이 섹션의 뒷부분에 설명된 대로 시스템을 구성해야 합니다.
개설 상황. 상태는 활성화 또는 비활성화입니다. 를 보여줍니다 초록색 유효성 검사 시스템이 활성 상태인지 표시하고 빨간색 비활성화 된 경우.
행위. 지원되는 작업은 다음과 같습니다.

스타트. 인증 모듈의 사용을 활성화합니다.
중지. 인증 모듈의 사용을 비활성화합니다.
구성. 유효성 검사 모듈을 설정하고 몇 가지 테스트를 실행하여 LDAP 커넥터가 올바르게 구성되었는지 확인합니다.

LDAP 유효성 검증 커넥터 구성

올바른 LDAP 커넥터를 구성하려면 이러한 매개변수를 입력해야 합니다.

호스트/URL. LDAP에 액세스할 수 있는 서버입니다.
포트. LDAP 서버가 수신하는 TCP 포트입니다. 기본적으로 389 또는 636입니다. LDAPS (SSL).
바인드 DN. LDAP 서버에서 인증할 때 사용할 자격 증명(사용자 이름)입니다.
비밀번호 바인드. 비밀번호 바인드 DN 사용자.
기본 DN. LDAP 서버가 사용자 인증 검색을 시작하는 디렉토리 내의 지점입니다.
범위. 이 범위는 얼마나 깊이 LDAP 검색이 발생해야 하는지를 나타냅니다.
번역. LDAP 서버에 액세스할 LDAP 버전을 지정합니다.
시간 초과. 검색을 찾지 못한 경우 LDAP 시간 초과 기간을 결정합니다.
필터. 애플리케이션에 액세스할 수 있는 사용자 또는 그룹의 수를 지정하거나 제한하는 속성입니다.

아래 검색은 위에서 설명한 필드를 사용하는 예입니다. LDAP 외에 사용자가 있음을 알 수 있습니다. 바인드 DN 사용자.

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e2NSWVBUfXVLdFcxNGZaOGfdaJyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

속성 UID 및 암호 RBAC 모듈 인증에 사용됩니다.

필수 속성이 확인되고 LDAP 검색이 작동하면 RBAC LDAP 모듈이 아래와 같이 구성됩니다.

LDAP 서버: ldap.zevenet.com .
포트: 명령에 포함되지 않으므로 기본적으로 389입니다.
바인드 DN: cn=admin,dc=zevenet,dc=com .
DN 비밀번호 바인드: 비밀 비밀번호.
기본 검색: ou=사람,dc=제베넷,dc=com .
필터: 예제에서는 사용되지 않습니다.

행위. 일부 작업은 구성 후에 사용할 수 있습니다.

신청. 새 구성을 제출하고 적용합니다.
연결 테스트. LDAP 연결 테스트를 시작합니다.
변경 사항 되돌리기. 마지막으로 적용된 값으로 수정된 양식 필드를 재설정합니다.

고려

주인 필드는 다음 형식을 지원합니다. 주인 or URL. 프로토콜(ldap : //ldap.zevenet.com or ldaps : //ldap.zevenet.com).
포트 URL을 구성하는 경우 필드를 사용할 필요가 없습니다. 포트는 고유하지만 사용된 LDAP 포트가 기본값이 아닌 경우 포트를 지정합니다.
범위 필드는 적용할 검색 수준을 나타내는 데 사용할 수 있습니다. 서브: 검색은 구성된 Base DN과 사용 가능한 모든 하위 수준에서 수행됩니다. 한: 검색은 구성된 Base DN과 하위 수준의 XNUMX단계 헤드에서 수행됩니다. Base: 하위 DN에서 검색하지 않고 Base DN에서만 검색합니다.
필터 필드가 조건으로 사용됩니다. 주어진 경우 UID 여기에 표시된 속성이 포함되어 있지 않으면 비밀번호가 정확하더라도 로그인이 올바르지 않습니다. 이 필드는 LDAP 시스템이 로그인 목적으로 다른 속성을 사용하는 경우 로그인 동작을 수정하는 데에도 사용됩니다. 여기에 사용된 속성을 표시해야 합니다. 예를 들어, Active Directory의 속성을 사용 sAMA계정 이름 로그인을 위해. 모든 조건이 일치하도록 필터를 연결할 수 있습니다. 예를 들면 다음과 같습니다. (& (sAMAccountName = % s) (memberOf = CN = sysadmins, OU = yourOU, DC = yourcompany, DC = com)).