استخدم RELIANOID موازن التحميل يتضمن التحكم في الوصول المستند إلى الدور (RBAC) وحدة. RBAC هي آلية تحكم في الوصول محايدة للسياسة تتمحور حول المستخدمين والأدوار والامتيازات. تتكامل هذه الوحدة مع مصادر البيانات المختلفة وتتطلب بيانات اعتماد مستخدم محددة.
أصول البيانات المدعومة #
LDAP. تتم مصادقة المستخدمين مقابل نظام LDAP موجود، مثل ب OpenLDAP, مايكروسوفت الدليل النشطأو تطبيقات LDAP الأخرى.
محلّي. تتم مصادقة المستخدمين ضد المحلية قاعدة بيانات مستخدم لينكس (/ الخ / الظل).
تكوين نظام التحقق من الصحة #
كما هو موضح في لقطة الشاشة أعلاه، يمكنك تمكين أو تعطيل أنظمة التحقق حسب الحاجة. إذا تم تمكين أنظمة التحقق المتعددة، فسيحاول النظام أولاً تسجيل دخول المستخدم من خلال LDAP. إذا لم يتم العثور على المستخدم، فسيحاول بعد ذلك استخدام مصدر البيانات المحلي (/ الخ / الظل).
حقول جدول نظام التحقق من الصحة #
. يحدد وحدة التحقق من الصحة للمستخدمين الذين قاموا بتسجيل الدخول. هذا الإصدار يدعم تسجيلات الدخول ضد LDAP و محلّي. يجب تكوين أنظمة LDAP كما هو مفصل في الأقسام اللاحقة.
الحالة. يشير إلى ما إذا كان نظام التحقق ممكّنًا أم معطلاً. أ أخضر المؤشر يعني أن النظام نشط، في حين أحمر يعني أنه معطل.
إجراءات نظام التحقق من الصحة #
بالبداية. تنشيط وحدة المصادقة.
قلة النوم. يقوم بإلغاء تنشيط وحدة المصادقة.
ضبط. يقوم بإعداد وحدة التحقق من الصحة وإجراء الاختبارات للتأكد من تكوين موصل LDAP بشكل صحيح.
تكوين موصل التحقق من صحة LDAP #
لتكوين موصل LDAP، املأ المعلمات التالية:
المضيف/عنوان URL. الخادم الذي يمكن الوصول إلى LDAP فيه.
ميناء. منفذ TCP الذي يستمع إليه خادم LDAP، عادةً 389 أو 636 LDAPS (بروتوكول طبقة المقابس الآمنة (SSL)).
ربط DN. بيانات الاعتماد (اسم المستخدم) المستخدمة لمصادقة LDAP.
ربط كلمة المرور. كلمة المرور ل ربط DN المستخدم.
قاعدة DN. نقطة البداية داخل الدليل لعمليات بحث مصادقة مستخدم LDAP.
مجال. يحدد عمق بحث LDAP.
التجريبية. يشير إلى إصدار LDAP المطلوب استخدامه.
مهلة. يضبط مدة انتظار استجابة LDAP.
تصفية. يحد من عدد المستخدمين أو المجموعات التي يمكنها الوصول إلى التطبيق.
مثال لبحث LDAP #
فيما يلي مثال لبحث LDAP باستخدام الحقول الموضحة أعلاه، مما يعرض المستخدم الذي تم العثور عليه في LDAP:
root@client:~$ ldapsearch -h ldap.relianoid.com -D cn=admin,dc=relianoid,dc=com -b ou=people,dc=relianoid,dc=com -W أدخل كلمة مرور LDAP: # Extended LDIF # # قاعدة LDAPv3 # مع الشجرة الفرعية للنطاق # مرشح: (objectclass=*) # الطلب: ALL # # الأشخاص، relianoid.com dn: ou=people,dc=relianoid,dc=com objectClass:OrganicUnit objectClass: top ou: people # johndoe, people, relianoid .com dn: cn=johndoe,ou=people,dc=relianoid,dc=com cn: johndoe ونظرًا للاسم: John gidNumber: 500 homeDirectory: /home/users/johndoe sn: ظبية تسجيل الدخولShell: /bin/sh objectClass: inetOrgPerson objectClass: posixAccount objectClass: أعلى uidNumber: 1000 uid: johndoe userPassword:: e2NSWVBUfXVLdXXXXFcxNGZaOGfdaJyZW8= # نتيجة البحث البحث: 2 النتيجة: 0 Success # numResponses: 3 # numEntries: 2
السمات رقم تعريف الوحدة و كلمه السر يتم استخدامها في وحدة RBAC للمصادقة.
بمجرد تأكيد السمات المطلوبة، ونجاح بحث LDAP، قم بتكوين وحدة RBAC LDAP كما يلي:
- خادم LDAP: ldap.relianoid.com .
- ميناء: غير مضمن في الأمر، لذلك بشكل افتراضي 389.
- ربط DN: cn=admin,dc=relianoid,dc=com .
- ربط كلمة مرور DN: كلمة السر السرية.
- البحث الأساسي: ou=people,dc=relianoid,dc=com .
- تصفية: غير مستخدم في المثال.
إجراءات نظام التحقق من صحة LDAP #
- تطبيق. إرسال وتطبيق التكوين الجديد.
- اختبار الاتصال. قم بتشغيل اختبار اتصال LDAP.
- التغيرات المرتدة. إعادة تعيين حقول النموذج المعدلة بآخر القيم المطبقة.
LDAP وAD اعتبارات هامة #
مضيف. يدعم كلا مضيف و URL التنسيقات. استخدم عنوان URL لتحديد البروتوكول (على سبيل المثال، ldap://ldap.relianoid.com or ldaps://ldap.relianoid.com).
ميناء. ليست هناك حاجة إذا تم تكوين عنوان URL. المنفذ متأصل ولكن حدده في حالة استخدام منفذ LDAP غير افتراضي.
مجال. يشير إلى مستوى البحث. تشمل الخيارات ما يلي:
- فرعية: البحث في الاسم المميز الأساسي وجميع المستويات الفرعية.
- واحد: ابحث في الاسم المميز الأساسي وخطوة للأمام.
- الفئة الأساسية: البحث فقط في الاسم المميز الأساسي بدون مستويات فرعية.
تصفية: يستخدم كشرط لتعديل سلوك تسجيل الدخول. على سبيل المثال، يستخدم Active Directory السمة sAMAccountName لتسجيل الدخول. يمكن ربط المرشحات لتتوافق مع جميع الشروط (على سبيل المثال، (&(&(sAMAccountName=%s)( memberOf=CN=sysadmins,OU=yourOU,DC=yourcompany,DC=com))) ).
