红帽全球峰会4.10. 配置链策略
您可以将目录服务器配置为将来自客户端应用程序的请求链到包含数据库链接的目录服务器。链策略适用于 Directory 服务器上创建的所有数据库链接。
4.10.1. 链组件操作
组件 是服务器中使用内部操作的任何功能单元,如前端中的插件或功能。
有些组件将内部 LDAP 请求发送到服务器,希望仅访问本地数据。对于此类组件,您必须控制链策略,以便组件可以成功完成操作。例如,证书验证功能。您可以串联函数提供的 LDAP 请求,以检查代表远程服务器信任的证书。如果远程服务器不被信任,则会出现安全问题。
默认情况下,您无法串联所有内部操作和任何组件,但可以覆盖默认设置。
另外,您必须在远程服务器上创建一个 ACI,以便指定的插件在远程服务器上执行操作。ACI 必须存在于分配给 数据库链接的后缀 中。
以下是组件名称,当您允许这些组件串联内部操作时,以及远程服务器上的 ACI 中组件所需的权限:
ACI 插件组件ACI 插件组件实施访问控制。您无法串联用于检索和更新ACI属性的操作,因为无法安全地混合本地和远程属性。但是,您可以通过设置以下链组件属性来串联用于检索用户条目的请求:nsActiveChainingComponents: cn=ACI Plugin,cn=plugins,cn=config
nsActiveChainingComponents: cn=ACI Plugin,cn=plugins,cn=configCopy to Clipboard Copied! Toggle word wrap Toggle overflow 权限:读取、搜索和比较.
资源限值组件资源限值组件根据用户绑定 DN 设置服务器限制。如果您串联了资源限制组件,您可以对远程用户应用资源限值。要串联资源限制组件操作,请添加以下链组件属性:nsActiveChainingComponents: cn=resource limits,cn=components,cn=config
nsActiveChainingComponents: cn=resource limits,cn=components,cn=configCopy to Clipboard Copied! Toggle word wrap Toggle overflow 权限:读取、搜索和比较.
基于证书的身份验证组件您可以在外部
绑定方法中使用基于证书的身份验证组件。此组件从远程服务器上的数据库检索用户证书。当您允许此组件串联时,它会启用基于证书的验证来使用数据库链接。要串联此组件的操作,请添加以下链组件属性:nsActiveChainingComponents: cn=certificate-based authentication,cn=components,cn=config
nsActiveChainingComponents: cn=certificate-based authentication,cn=components,cn=configCopy to Clipboard Copied! Toggle word wrap Toggle overflow 权限:读取、搜索和比较.
密码策略组件密码策略组件将SASL绑定添加到远程服务器。使用用户名和密码进行身份验证对于某些形式的 SASL 身份验证至关重要。当您启用密码策略时,它允许服务器验证和实施请求的特定身份验证方法,并应用适当的密码策略。要串联此组件的操作,请添加串联组件属性:nsActiveChainingComponents: cn=password policy,cn=components,cn=config
nsActiveChainingComponents: cn=password policy,cn=components,cn=configCopy to Clipboard Copied! Toggle word wrap Toggle overflow 权限:读取、搜索和比较.
SASL组件SASL组件允许 SASL 绑定到远程服务器。要串联此组件的操作,请添加串联组件属性:nsActiveChainingComponents: cn=password policy,cn=components,cn=config
nsActiveChainingComponents: cn=password policy,cn=components,cn=configCopy to Clipboard Copied! Toggle word wrap Toggle overflow 权限:读取、搜索和比较.
引用完整性后组件引用完整性后组件将更新传播到包含 DN 的属性,到包含指向属性的指针的条目。例如,您可以在组被删除时自动从组中删除条目。通过将referential integrity postoperation插件与链一起使用,当组成员到静态组定义时,可以简化静态组的管理。nsActiveChainingComponents: cn=referential integrity postoperation,cn=plugins,cn=config
nsActiveChainingComponents: cn=referential integrity postoperation,cn=plugins,cn=configCopy to Clipboard Copied! Toggle word wrap Toggle overflow 权限:读取、搜索和比较.
属性唯一组件属性唯一组件验证指定属性的所有值是否是唯一的。当您串联插件时,它确认属性值是唯一的,即使通过数据库链接更改了属性。要串联此组件的操作,请添加串联组件属性:nsActiveChainingComponents: cn=attribute uniqueness,cn=plugins,cn=config
nsActiveChainingComponents: cn=attribute uniqueness,cn=plugins,cn=configCopy to Clipboard Copied! Toggle word wrap Toggle overflow 权限:读取、搜索和比较.
角色组件roles组件串联了数据库中条目的角色和角色分配。当您串联此组件时,即使在串联的数据库中也会维护角色。要串联此组件的操作,请添加串联组件属性:nsActiveChainingComponents: cn=roles,cn=components,cn=config
nsActiveChainingComponents: cn=roles,cn=components,cn=configCopy to Clipboard Copied! Toggle word wrap Toggle overflow 权限:读取、搜索和比较.
您无法将 角色 插件、密码策略 组件、复制 插件和引用 完整性 插件组件链。当您在发出链请求的服务器上启用 referential Integrity 插件时,请确保分析了性能、资源、时间和完整性需求。不会导致完整性检查会非常耗时,并在内存和 CPU 上排空。
4.10.2. 使用命令行串联组件操作
您可以使用命令行添加允许链的组件:
流程
指定要包含在链中的组件:
dsconf <instance_name> chaining config-set \ --add-comp="cn=referential integrity postoperation,cn=components,cn=config"
# dsconf <instance_name> chaining config-set \ --add-comp="cn=referential integrity postoperation,cn=components,cn=config"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重启实例:
dsctl <instance_name> restart
# dsctl <instance_name> restartCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在远程服务器的后缀中创建 ACI,其操作将被串联:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
显示允许链的组件:
dsconf <instance_name> chaining config-set \ --add-comp="cn=referential integrity postoperation,cn=components,cn=config"
# dsconf <instance_name> chaining config-set \ --add-comp="cn=referential integrity postoperation,cn=components,cn=config"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
4.10.3. 使用 Web 控制台串联组件操作
您可以使用 Web 控制台添加允许链的组件:
先决条件
- 您已在 web 控制台中打开 Directory Server 用户界面并选择实例。
流程
- 打开 Database 菜单。
- 在左侧的导航中,选择 Chaining Configuration 条目。
- 单击组件到 链字段下的添加按钮。
- 选择您要链的组件,然后点 。
在远程服务器上的后缀中创建 ACI,在其中将操作链接到其中:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
- 所选组件应该串联为。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}