시스템 | RBAC | 설정

게시일: 18년 2020월 XNUMX일

설정

Zevenet Load Balancer에는 다음이 포함됩니다. RBAC 모듈 (역할 기반 액세스 제어), 사용자, 역할 및 권한에 대해 정의된 정책 중립적인 액세스 제어 메커니즘입니다. 이 RBAC 모듈은 다른 데이터 원본에 연결할 수 있고 특정 사용자를 요청할 수 있습니다. 지원되는 데이터 원본은 다음과 같습니다.

  • LDAP: 사용자는 다른 LDAP 애플리케이션 솔루션 중에서 OpenLDAP, Microsoft Active Directory와 같은 기존 LDAP 시스템에 대해 기록됩니다.
  • 지방의: 사용자는 로컬 Linux 사용자의 데이터베이스(/etc/shadow)에 대해 기록됩니다.

검증 시스템 구성

이전 스크린샷에서 볼 수 있듯이 유효성 검사 시스템은 필요에 따라 활성화 또는 비활성화할 수 있습니다. 둘 이상의 유효성 검사 시스템이 활성화된 경우 사용자를 찾을 수 없는 경우 사용자는 먼저 LDAP를 통해 로그온을 시도합니다. 그런 다음 로컬로(/etc/shadow).

검증 시스템 테이블의 필드는 아래에 설명되어 있습니다.

  • : 로그인 사용자에 대한 유효성 검사 모듈을 정의합니다. 이 버전에서는 LDAP에 대한 로그인과 로컬이 지원됩니다. LDAP 유효성 검사의 경우 다음 줄에 설명된 대로 시스템을 구성해야 합니다.
  • Status: 활성화 또는 비활성화, 이 유효성 검사 시스템이 사용 중인 경우 녹색 포인트로 표시되고 비활성화된 경우 빨간색 포인트로 표시됩니다.
  • 행위: 지원되는 작업은 다음과 같습니다. 활성화, 비활성화: 이 유효성 검사 모듈 사용을 활성화 또는 비활성화하기 위해 구성: 유효성 검사 모듈을 구성하고 몇 가지 테스트를 실행하여 LDAP 커넥터가 올바르게 구성되었는지 확인합니다.

LDAP 유효성 검사 커넥터 구성

올바른 LDAP 커넥터 구성에 필요한 값은 다음과 같습니다.

  • LDAP 서버: LDAP에 액세스할 수 있는 호스트입니다.
  • 포트:LDAP 서비스가 수신하는 TCP 포트, 기본적으로 LDAPS(SSL)의 경우 389 또는 636
  • 바인드 DN: 검색 권한이 있는 사용자의 경로
  • 바인드 비밀번호: Bind DN 사용자의 비밀번호
  • 기본 검색:사용자가 검색하는 경로
  • 필터: 특정 그룹의 구성원과 같이 선택하려는 사용자에서 일치해야 하는 속성입니다.

다음 검색은 검색을 수행할 수 있는 권한이 있는 바인드 DN 사용자가 있는 LDAP에서 지정된 사용자를 찾을 수 있으므로 앞에서 설명한 필드를 사용하여 예제를 실행합니다.

root@client:~$ ldapsearch -h ldap.zevenet.com -D cn=admin,dc=zevenet,dc=com -b ou=people,dc=zevenet,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=zevenet,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, zevenet.com
dn: ou=people,dc=zevenet,dc=com
objectClass: organizationalUnit
objectClass: top
ou: people

# acano, people, zevenet.com
dn: cn=acano,ou=people,dc=zevenet,dc=com
cn: acano
givenName: alvaro
gidNumber: 500
homeDirectory: /home/users/acano
sn: cano
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uidNumber: 1000
uid: acano
userPassword:: e0NSWVBUfXVLdFcxNGZaOGfdaFyZW8=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

속성 참조 UID암호, RBAC 모듈 인증에 사용될 것입니다.

필요한 속성이 알려지고 ldap 검색이 작동하는지 수동으로 확인한 후에는 RBAC LDAP 모듈을 아래와 같이 구성해야 합니다.

  • LDAP 서버: ldap.zevenet.com
  • 포트: 명령에 포함되지 않으므로 기본적으로 389
  • 바인드 DN: cn=관리자,dc=zevenet,dc=com
  • 바인드 DN 암호: 비밀번호
  • 기본 검색: ou=사람들,dc=zevenet,dc=com
  • 필터: 예시에서는 사용하지 않음

고려

  • 호스트 필드는 다음 형식을 지원합니다. 주인 or URL, 프로토콜을 지정하려면 URL을 사용하십시오(LDAP://ldap.zevenet.com or ldaps://ldap.zevenet.com).
  • URL을 구성하는 경우 포트 필드를 사용할 필요가 없습니다. 포트는 고유하지만 사용된 LDAP 포트가 기본값이 아닌 경우 여기에 포트를 지정합니다.
  • 범위 필드는 적용할 검색 수준을 나타내는 데 사용할 수 있습니다. 서브: 구성된 기본 DN 및 사용 가능한 모든 하위 수준에서 검색이 수행됩니다. : 구성된 Base DN과 다음 하위 레벨에서 검색이 이루어집니다. Base: 하위 레벨에서 검색하지 않고 Base DN에서만 검색합니다.
  • 필터 필드는 주어진 경우 조건으로 사용됩니다. UID 여기에 표시된 속성을 포함하지 않으면 비밀번호가 정확하더라도 로그인이 올바르지 않습니다. 이 필드는 또한 LDAP 시스템이 로그인 용도로 다른 속성을 사용하는 경우 로그인 동작을 수정하는 데 사용되며 대신 여기에 사용된 속성을 표시해야 합니다. 예를 들어 Active Directory는 로그인에 sAMAccountName 속성을 사용한 다음 표시된 대로 필터를 수정합니다. (sAMA계정 이름=%s).
  • 모든 조건이 일치해야 하도록 필터를 연결할 수 있습니다. 예를 들면 다음과 같습니다. (&(sAMAccountName=%s)(memberOf=CN=sysadmins,OU=yourOU,DC=yourcompany,DC=com)).
공유 :

GNU Free Documentation License의 조건에 따른 문서.

이 글이 도움 되었나요?

가능 아니

관련 기사