搜索

5.3.2. 组合 LDAP 和 RBAC 进行授权

download PDF

使用 LDAP 服务器或使用属性文件进行身份验证的用户可以是用户组的成员。用户组只是可分配给一个或多个用户的任意标签。RBAC 可以配置为使用此组信息自动为用户分配角色或将用户从角色中排除。

LDAP 目录包含用户帐户和组的条目,可通过属性来引用。根据 LDAP 服务器配置,用户实体可以映射用户通过 memberOf 属性属于的组;组实体可以通过 uniqueMember 属性或两者的组合来映射属于该用户的组。用户通过 LDAP 服务器成功身份验证后,将执行组搜索来加载该用户的组信息。根据使用的目录服务器,组搜索可使用其 SN(通常是身份验证中使用的用户名),或者通过使用目录中用户条目的 DN 执行。将 LDAP 设置为安全域中的授权机制时,会配置组搜索(group-search)以及用户名和可分辨名称(用户名到dn)之间的映射。

从 LDAP 服务器确定用户组成员资格信息后,将在 RBAC 配置中使用映射来确定用户具有哪些角色。此映射被配置为明确包含或排除组以及单个用户。

注意

用户连接到服务器的身份验证步骤始终先发生。成功验证用户后,服务器将加载用户的组。身份验证步骤和授权步骤各自都需要连接 LDAP 服务器。安全域通过为组加载步骤重复利用身份验证连接来优化此过程。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.