Red Hat Summit4.12. 데이터베이스 링크 및 액세스 제어 평가
사용자가 데이터베이스 링크를 포함하는 서버에 바인딩하면 데이터베이스 링크가 사용자의 ID를 원격 서버로 보냅니다. 원격 서버에서 액세스 제어를 평가할 수 있습니다.
프록시된 권한 부여 제어를 사용하여 전달된 클라이언트 애플리케이션의 원래 ID를 사용하여 원격 서버에서 LDAP 작업을 평가할 수 있습니다.
원격 서버에서 작업이 성공하려면 원격 서버에 있는 하위 트리에 올바른 액세스 제어가 있어야 합니다.
다음과 같은 제한 사항을 사용하여 원격 서버에 일반적인 액세스 제어를 추가할 수 있습니다.
- 모든 유형의 액세스 제어는 사용할 수 없습니다. 예를 들어 역할 기반 또는 필터 기반 ACI는 데이터베이스 링크를 통해 데이터에 액세스하므로 사용자 항목에 액세스해야 합니다.
- 원격 서버는 데이터베이스 링크와 동일한 IP 주소 및 DNS 도메인에서 클라이언트 애플리케이션을 봅니다. 클라이언트의 원래 도메인이 연결 중에 손실되므로 클라이언트의 IP 주소 또는 DNS 도메인을 기반으로 하는 모든 액세스 제어가 작동하지 않습니다.
Directory Server는 IPv4 및 IPv6 IP 주소를 모두 지원합니다.
다음 제한 사항은 데이터베이스 링크와 함께 사용되는 ACI에 적용됩니다.
- 사용하는 모든 그룹에서 ACI를 찾아야 합니다. 동적 그룹의 경우 그룹의 모든 사용자는 ACI 및 그룹에 있습니다. 정적 그룹의 경우 사용자가 원격 서버에 연결합니다.
- 사용하는 역할 정의와 이러한 역할을 사용하려는 모든 사용자와 함께 ACI를 찾아야 합니다.
- 사용자 항목 값에 대한 링크가 사용자가 원격인 경우 작동해야 합니다.
액세스 제어의 평가는 항상 원격 서버에서 수행되지만 데이터베이스 링크와 원격 서버를 포함하는 서버 모두에서 액세스 제어를 평가할 수도 있습니다. 이로 인해 다음과 같은 몇 가지 제한 사항이 있습니다.
- 예를 들어 데이터베이스 링크를 포함하는 서버에서 액세스 제어를 평가할 때 및 항목이 원격 서버에 있으면 사용자 항목의 내용을 반드시 사용할 수 없습니다.
성능상의 이유로 클라이언트는 원격 문의를 수행할 수 없으며 액세스 제어를 평가할 수 없습니다.
- 수정 작업을 수행할 때 데이터베이스 링크는 원격 서버에 저장된 전체 항목에 액세스할 수 없으며 클라이언트 애플리케이션에서 수정하는 항목에 대한 액세스 권한이 반드시 없습니다.
-
삭제 작업을 수행하면 데이터베이스 링크는 항목의
DN만 인식합니다. 액세스 제어에서 특정 특성을 지정하는 경우 데이터베이스 링크를 통해 수행할 때 삭제 작업이 실패해야 합니다.
기본적으로 데이터베이스 링크가 포함된 서버의 액세스 제어 평가는 허용되지 않습니다. cn=database_link, cn=chaining 데이터베이스 , 항목에서 cn=plugins, cn= confignsCheckLocalACI 속성을 사용하여 이 기본 설정을 덮어쓸 수 있습니다. 그러나 데이터베이스 링크가 포함된 서버에서 액세스 제어를 평가하는 것은 계단식 체인을 제외하고 권장되지 않습니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}