Authentifizierungsprozess

SaltStack Config verwendet den folgenden Backend-Prozess zur Authentifizierung von LDAP-basierten Systemen:

• Vorschau – Wenn Sie Ihre Verbindungseinstellungen in der Vorschau anzeigen, ruft SaltStack Config eine Beispielliste mit Benutzern und Gruppen vom LDAP-Server ab, damit Sie überprüfen können, ob Sie die richtigen Konfigurationsparameter eingegeben haben.
• Anmelden – Wenn ein Benutzer Anmeldedaten im SaltStack Config-Anmeldeformular eingibt, prüft der Backend-Server, ob zu diesem Zeitpunkt eine Übereinstimmung in der Datenbank vorliegt. Anschließend wird ein mehrstufiger Suchvorgang initiiert, und der Benutzer wird bei Auffinden einer Übereinstimmung authentifiziert. Aufgrund dieses Suchvorgangs werden aktivierte einzelne Benutzer in aktivierten Gruppen erst bei der ersten Anmeldung des Benutzers im Arbeitsbereich „Rollen“ angezeigt.
• Hintergrundaufgaben – SaltStack Config führt regelmäßig einen Hintergrundauftrag aus, um nach allen verknüpften Gruppen und Benutzern in der Verzeichnisdienstverbindung zu suchen und sicherzustellen, dass sie noch vorhanden sind. Wenn die Gruppe oder der Benutzer entfernt wurde, deaktiviert der Backend-Server seinen Link in der Datenbank.
• Archivierte Gruppen und Benutzer – Alle Gruppen, die Sie aus Ihrer Verzeichnisdienstverbindung entfernen, werden archiviert. Obwohl diese Gruppen inaktiv sind und Benutzer sich nicht anmelden können, werden sie weiterhin im Arbeitsbereich „Rollen“ angezeigt und können ausgewählt werden. Dies gilt auch für alle entfernten Benutzer, die zuvor im Arbeitsbereich „Rollen“ angezeigt wurden.
• Geschachtelte Gruppen – Beim Arbeiten mit geschachtelten Gruppen aktivieren Sie neben einer übergeordneten Gruppe standardmäßig auch alle untergeordneten Gruppen.

Konfigurieren einer LDAP-Verbindung

Zum Konfigurieren von LDAP erstellen Sie zunächst eine Verbindung und aktivieren dann bestimmte LDAP-Benutzer und -Gruppen für die Authentifizierung bei SaltStack Config. Nach dem Aktivieren von Gruppen oder Benutzern können Sie deren Einstellungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) definieren.

Sie können die Felder mit den Standardeinstellungen vorab befüllen, die an Ihren Verzeichnisdienst angepasst sind, wie z. B. Active Directory oder OpenLDAP.

So richten Sie einen LDAP-Verzeichnisdienst ein:

1. (Optional) Vor der Konfiguration von LDAP kann es hilfreich sein, die Verbindung und die Abfragen mithilfe eines Drittanbietertools zu testen. Für AD-Benutzer können Sie LDP oder ADSI Edit verwenden. Für Linux-Benutzer wird das Tool ldapsearch empfohlen.
   Hinweis: Weitere Informationen zu Tests mit diesen Tools finden Sie unter Vorgehensweise zur Überprüfung und Fehlerbehebung einer Verzeichnisdienstverbindung im Support Center.
2. Klicken Sie im seitlichen Menü auf Verwaltung > Authentifizierung.
3. Klicken Sie auf Erstellen.
4. Wählen Sie im Menü Konfigurationstyp die Option LDAP aus.
5. (Optional) Klicken Sie unter Einstellungen auf Standardeinstellungen vorab befüllen und wählen Sie Ihren Verzeichnisdienst in der Dropdown-Liste aus.

   Die Standardeinträge werden entsprechend Ihrer Auswahl befüllt. Bestimmte Einträge, wie z. B. Such-DN des Benutzers sind jedoch unvollständig. Stellen Sie sicher, dass die Einträge mit Ihrem Verzeichnisdienstschema übereinstimmen, und ersetzen Sie Platzhaltertext durch die korrekten Werte für Ihren Dienst.

6. Geben Sie die Informationen für Ihre LDAP-Verbindung ein oder überprüfen Sie sie.

   Einfach

   Feld	Beschreibung
   Name	Name der LDAP-Verbindung. Da es sich hierbei lediglich um einen Anzeigenamen handelt, eignet sich die Eingabe eines beliebigen Namens, um dieses Authentifizierungs-Backend von anderen unterscheiden zu können.
   Host	Adresse des LDAP-Hostservers, die als FQDN oder IP-Adresse formatiert ist.
   Port	Port, auf dem der LDAP-Server konfiguriert ist. Die Standardeinstellung lautet 389 für nicht verschlüsseltes LDAP und 636 für LDAP über SSL.
   Hintergrundsynchronisierung	SaltStack Config validiert alle Benutzer und Gruppen für das Authentifizierungs-Backend in einem hier festgelegten Intervall (in Minuten).
   SSL	SSL aktivieren Wählen Sie diese Option aus, um mithilfe des in den RaaS-Servereinstellungen angegebenen Zertifikats eine Verbindung mit dem LDAP-Server über SSL (Secure Sockets Layer) herzustellen. Bei fehlender Konfiguration wird der Zertifikatspeicher des Systems verwendet, um die SSL-Verbindung zu validieren. Weitere Informationen zum Einrichten des RaaS-Servers finden Sie unter Einrichten von SSL-Zertifikaten im Handbuch „Installieren und Konfigurieren von SaltStack Config“. Wichtig: Wir empfehlen die Auswahl der Option „SSL aktivieren“. Wenn diese Option nicht ausgewählt ist, überträgt SaltStack Config Informationen im Klartext über eine unsichere Verbindung. Zertifikat validieren Wählen Sie diese Option aus, um sicherzustellen, dass die SSL-Zertifikate beim Herstellen der Verbindung validiert werden. Wählen Sie diese Option nicht aus, wenn die Validierung übersprungen werden soll, wie z. B. bei Verwendung von selbstsignierten Zertifikaten (nicht für die Produktion empfohlen).

   Authentifizierung

   Feld	Beschreibung
   Basis-DN für Authentifizierung	LDAP-Basis-DN (Distinguished Name). Hierbei handelt es sich um den Standort, über den Gruppen und Benutzer abgefragt werden, wie z. B. DC=sse,DC=example,DC=com. Hinweis: Die Seite „LDAP-Details“ enthält separate Eingabefelder für Objektklasse der Person, Name des Kontoattributs, Gruppenklasse, Name des Gruppenattributs und Synchronisierungszeitplan (Beschreibung siehe unten). Geben Sie diese Objekte daher nicht im Feld „Basis-DN“ ein.
   Admin-Bind-DN	Für den LDAP-Server konfigurierter Administrator-DN. SaltStack Config verwendet diese Angabe für die Authentifizierung beim Verzeichnis für Benutzer- und Gruppen-Lookups. Nehmen Sie die Eingabe basierend auf der folgenden Syntax vor: cn=Administrator,cn=Users,dc=example,dc=com.
   Kennwort des Admin-Bind-DN	Das individuelle Kennwort des Administrators. Dieses wird verschlüsselt in der Datenbank gespeichert. Das Kennwort wird nicht im Klartext gespeichert.
   Bind-DN-Filter für Authentifizierung	Filter angewendet, um einen bestimmten Benutzer auszuwählen. Das Ergebnis dieser Suche ist ein Benutzer-DN, der von SaltStack Config zur Bindung an das Verzeichnis verwendet wird und dem Benutzer Zugriff auf SaltStack Config gewährt. Dies ist nützlich, um die Anzahl der Ergebnisse zu begrenzen, die in einem bestimmten Suchlauf zurückgegeben werden. Hinweis: Aufgrund der möglicherweise sehr komplexen Filtersyntax wird empfohlen, den Eintrag mithilfe von LDP, ldapsearch oder eines ähnlichen Tools zu testen, um Ihren Eintrag zu überprüfen und vor dem Befüllen dieses Felds Anpassungen vorzunehmen. Der folgende Beispielfilter gibt nur ein Konto zurück, das mit dem angegebenen Benutzernamen der DevOps- oder Level II-Gruppen übereinstimmt. (&(objectclass=user)(sAMAccountName={username})(|(memberOf=CN=DevOps,OU=Groups,OU=TestCompanyHQ,DC=adtest,DC=com)(memberOf=LevelII,OU=Groups,DC=adtest,DC=com))) Wenn Sie vorab befüllte Standardwerte verwenden, stellen Sie sicher, dass Sie Platzhaltertext durch die korrekten Werte für Ihren Verzeichnisdienst ersetzen. Hinweis: Lassen Sie dieses Feld beim Konfigurieren einer Baumstruktur leer.
   Remotename des eindeutigen ID-Attributs	Name des Werts, der zur Identifizierung eindeutiger Einträge verwendet wird. Dies ist das eindeutige ID-Attribut für alle Einträge. In AD ist dies ObjectGUID.

   Gruppen

   Feld	Beschreibung
   Such-DN für Gruppen	Die Suchbasis für Gruppen. In AD kann dies beispielsweise cn=Groups,dc=example,dc=com sein. Gibt an, wo im Verzeichnis nach Gruppen gesucht werden soll. Verwendung mit dem folgenden Suchbereich für Gruppen
   Suchbereich für Gruppen	Gibt die Suchtiefe des Verzeichnisses gemäß der im Such-DN für Gruppen angegebenen Basis an, die einen von vier Werten aufweisen kann: baseObject Wert 0, häufig bezeichnet als base. Verwenden Sie diesen Wert, um ausschließlich nach diesem Objekt zu suchen. singleLevel Wert 1, häufig bezeichnet als one. Verwenden Sie diesen Wert, um nur unmittelbar untergeordnete Elemente des Basiseintrags bei Übereinstimmungen zu berücksichtigen. wholeSubtree Wert 2 (oder SUBTREE in ldap3), häufig bezeichnet als sub. Verwenden Sie diesen Wert, um die Basis und alle untergeordneten Elemente in beliebiger Tiefe zu durchsuchen. subordinateSubtree Wert 3, häufig bezeichnet als subordinates. Dies entspricht wholeSubtree, der Basissucheintrag wird jedoch ignoriert.
   DN-Filter für Gruppensuche	Suchfilter zum Extrahieren von Gruppen aus dem Verzeichnis. Hierbei handelt es sich in der Regel um (objectClass=group), bei bestimmten AD-Konfigurationen jedoch möglicherweise um (objectCategory=group). Verwenden Sie diese Option zusätzlich zur Gruppenklasse für mehr Granularität.
   Gruppenklasse	Name der Objektklasse, der zum Definieren von Gruppen verwendet wird, z. B. groupOfNames.
   Attribut des Gruppennamens	Der Name des Attributs, das Sie für den Gruppennamen verwenden möchten. Geben Sie ein Einzelwertattribut statt eines Mehrwertattributs ein.
   Attribut der Gruppenmitgliedschaft	Der Name des Attributs im Benutzereintrag, der den Gruppennamen enthält, z. B. memberOf.

   Benutzer

   Feld	Beschreibung
   Such-DN für Benutzer	Die Suchbasis für Benutzer, z. B. cn=Users,dc=example,dc=com in AD oder cn=people,cn=accounts,dc=example,dc=com in anderen Verzeichnisdiensten. Gibt an, wo im Verzeichnis nach Benutzern gesucht werden soll. Verwendung mit dem folgenden Benutzersuchbereich.
   Benutzersuchbereich	Gibt die Suchtiefe des Verzeichnisses gemäß der im Such-DN für Benutzer angegebenen Basis an, die einen von vier Werten aufweisen kann: Zeigen Sie die vier Werte an, die im Gruppensuchbereich beschrieben werden.
   DN-Filter für Benutzersuche	Suchfilter zum Extrahieren von Benutzern aus dem Verzeichnis. Hierbei handelt es sich in der Regel um (objectClass=person), bei bestimmten AD-Konfigurationen jedoch möglicherweise um (objectCategory=user).
   Personenklasse	Der Klassenname des Verzeichnisdiensts mit Benutzern, die Sie für die Anmeldung aktivieren möchten. Die meisten Systeme (einschließlich Active Directory) verwenden person, einige bevorzugen jedoch user oder inetOrgPerson.
   Attribut der Benutzer-ID	Der eindeutige Name des Benutzerkontoattributs. Für AD ist dies sAMAccountName. Für andere Dienste ist dies häufig uid oder memberUid.
   Attribut der Benutzermitgliedschaft	Der Name des Attributs im Gruppeneintrag, der den Benutzernamen enthält. Zu dem möglichen Beispielen gehören member oder uniquemember.

7. Klicken Sie zum Anzeigen der Einstellungen in einer temporären Vorschau auf Vorschau aktualisieren.

   Im Vorschaufenster werden die für Ihre Verbindung ausgewählten Benutzer und Gruppen angezeigt. Sie können entweder die Registerkarte Gruppen oder Benutzer auswählen, um mit dem Dienst verknüpfte Benutzer und Gruppen nach Bedarf in der Vorschau anzuzeigen.

   Wenn Sie Ihre Verbindung nicht erfolgreich in der Vorschau anzeigen können, finden Sie unter Fehlerbehebung weitere Tipps.

8. Klicken Sie auf Speichern.

   Ihre LDAP-Konfiguration wurde gespeichert. Um sicherzustellen, dass die Konfiguration korrekt ist, möchten Sie sich unter Umständen über ein Testbenutzerkonto bei SaltStack Config anmelden. Wenn Sie sich nicht erfolgreich anmelden können, finden Sie unter Fehlerbehebung weitere Tipps.

   Hinweis: Bei LDAP-Konfigurationen speichert SaltStack Config die Verbindungseinstellungen, einschließlich der angegebenen Gruppen und Benutzer. Es ruft nur Gruppen und Benutzer innerhalb des von Ihnen definierten Geltungsbereichs ab und synchronisiert nicht das gesamte Verzeichnis. Weitere Informationen zur Funktionsweise finden Sie unter Authentifizierungsprozess.

   Mit der Zeit müssen Sie Ihr LDAP-Verzeichnis möglicherweise aktualisieren oder neu synchronisieren. Sie sollten Ihr Verzeichnis beispielsweise aktualisieren, wenn Sie neue Benutzer hinzugefügt haben und diese in SaltStack Config aktivieren möchten.