Red Hat Summit3.9.2. Uso do LDAP para Autenticação das Interfaces de Gerenciamento
Para uso do servidor do diretório LDAP como fonte de autenticação para o Management Console, Management CLI ou Management API, você precisa executar os seguinte procedimentos:
- Criação de uma conexão outbound para o servidor LDAP.
- Crie um security realm habilitado LDAP.
- Referencie o novo security domain na Interface de Gerenciamento.
Criação da Conexão Outbound a um Servidor LDAP
A conexão outbound LDAP permite os seguintes atributos:
| Função | Solicitado | Descrição |
|---|---|---|
| nome | sim |
O nome para identificar esta conexão. Este nome é usado na definição do security realm.
|
| url | sim |
O endereço URL do servidor do diretório.
|
| search-dn | sim |
O distinguished name (DN - nome distinguido) do usuário autorizado a executar as buscas.
|
| search-credentials | sim |
A senha do usuário autorizado a executar as buscas.
|
| initial-context-factory | não |
A criação do contexto inicial para uso quando estabelecendo a conexão. O default é
com.sun.jndi.ldap.LdapCtxFactory.
|
Exemplo 3.13. Adição de uma Conexão Outbound LDAP
Esta amostra adiciona uma conexão outbound com o seguinte conjunto de propriedades:
- DN de busca:
cn=search,dc=acme,dc=com - Credencial de busca:
myPass - URL:
ldap://127.0.0.1:389
/host=master/core-service=management/ldap-connection=ldap_connection/:add(search-credential=myPass,url=ldap://127.0.0.1:389,search-dn="cn=search,dc=acme,dc=com")
/host=master/core-service=management/ldap-connection=ldap_connection/:add(search-credential=myPass,url=ldap://127.0.0.1:389,search-dn="cn=search,dc=acme,dc=com")Exemplo 3.14. Representação XML de uma Conexão Outbound LDAP
Criação de um Security Realm Habilitado LDAP
As Interfaces de Gerenciamento podem autenticar em relação ao servidor LDAP ao invés do arquivo de propriedade baseado nos security realms configurados por default. O autenticador LDAP opera primeiramente estabelecendo uma conexão ao servidor do diretório remoto. Ele então executa uma busca usando o nome do usuário que o usuário passou ao sistema de autenticação, com o objetivo de encontrar o distinguished name (DN - nome distinguido) inteiramente qualificado. Uma nova conexão é estabelecida usando o DN do usuário como credencial e senha suprida pelo usuário. Caso esta autenticação ao servidor LDAP for bem sucedida, o DN é confirmado como válido.
O security realm LDAP precisa dos seguintes atributos de configuração e elementos com o objetivo de executar suas funções.
- conexão
- O nome da conexão definido no
<outbound-connections>para uso da conexão ao diretório LDAP. - base-dn
- O nome distinguido do contexto para iniciar a busca pelo usuário.
- recursivo
- Se é que a busca deve ser recursiva através da árvore do diretório LDAP ou apenas buscar o contexto especificado. O default é
false. - user-dn
- O atributo do usuário que mantém o nome distinguido. Isto é subsequentemente usado para testar a autenticação assim que usuário puder completar. O default é
dn. - Um dos
username-filterouadvanced-filtercomo um elemento filho - O
username-filterleva um atributo único chamadoattribute, cujo valor é o nome do atributo LDAP que mantém o nome do usuário, tal como ouserNameousambaAccountName.Oadvanced-filterleva um único atributo chamadofilter. Este atributo contém uma fila de filtro na sintaxe do LDAP default. Recomendamos cuidado ao sair de qualquer caractere&alterando-os pelo&. Segue abaixo uma amostra de um filtro:(&(sAMAccountName={0})(memberOf=cn=admin,cn=users,dc=acme,dc=com))(&(sAMAccountName={0})(memberOf=cn=admin,cn=users,dc=acme,dc=com))Copy to Clipboard Copied! Toggle word wrap Toggle overflow Após sair do caractere ampersand, o filtro aparece como:(&(sAMAccountName={0})(memberOf=cn=admin,cn=users,dc=acme,dc=com))(&(sAMAccountName={0})(memberOf=cn=admin,cn=users,dc=acme,dc=com))Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Exemplo 3.15. Representação XML de um Security Realm habilitado LDAP
Essa amostra usa os seguintes parâmetros:
- connection -
ldap_connection - base-dn -
cn=users,dc=acme,dc=com. - username-filter -
attribute="sambaAccountName"
Atenção
É importante certificar-se de que você não permita as senhas LDAP vazias (a não ser que você as deseje especificamente no seu ambiente, uma vez que elas implicam em sérios critérios de segurança.
O EAP 6.1 inclui um caminho para o CVE-2012-5629, que determina a opção allowEmptyPasswords para os módulos de login LDAP para falso, caso esta opção já não esteja configurada. Para as versões antigas, esta opção deve ser configurada manualmente.
Exemplo 3.16. Adição de um LDAP Security Realm
O comando adiciona o security realm e determina seus atributos para o servidor autônomo.
/host=master/core-service=management/security-realm=ldap_security_realm/authentication=ldap:add(base-dn="DC=mycompany,DC=org", recursive=true, username-attribute="MyAccountName", connection="ldap_connection")
/host=master/core-service=management/security-realm=ldap_security_realm/authentication=ldap:add(base-dn="DC=mycompany,DC=org", recursive=true, username-attribute="MyAccountName", connection="ldap_connection")Aplicação do Novo Security Realm à Interface de Gerenciamento
Após você criar um security realm, você precisa referenciá-lo na configuração de sua interface de gerenciamento. A interface de gerenciamento usará o security realm para a autenticação de resumo HTTP.
Exemplo 3.17. Aplicação do Security Realm à Interface HTTP
Após esta configuração estar pronta e você restaurar o host controller, o Management Console baseado na web usará o LDAP para autenticação de seus usuários.
/host=master/core-service=management/management-interface=http-interface/:write-attribute(name=security-realm,value=TestRealm)
/host=master/core-service=management/management-interface=http-interface/:write-attribute(name=security-realm,value=TestRealm)
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}