Sie können den Arbeitsbereich „Authentifizierung“ verwenden, um Verzeichnisdienste für SaltStack Config mithilfe des LDAP-Protokolls zu konfigurieren. Dieses Protokoll wird für die Verbindung mit Diensten wie Active Directory oder Microsoft Azure verwendet.
Authentifizierungsprozess
SaltStack Config verwendet den folgenden Backend-Prozess zur Authentifizierung von LDAP-basierten Systemen:
- Vorschau – Wenn Sie Ihre Verbindungseinstellungen in der Vorschau anzeigen, ruft SaltStack Config eine Beispielliste mit Benutzern und Gruppen vom LDAP-Server ab, damit Sie überprüfen können, ob Sie die richtigen Konfigurationsparameter eingegeben haben.
- Anmelden – Wenn ein Benutzer Anmeldedaten im SaltStack Config-Anmeldeformular eingibt, prüft der Backend-Server, ob zu diesem Zeitpunkt eine Übereinstimmung in der Datenbank vorliegt. Anschließend wird ein mehrstufiger Suchvorgang initiiert, und der Benutzer wird bei Auffinden einer Übereinstimmung authentifiziert. Aufgrund dieses Suchvorgangs werden aktivierte einzelne Benutzer in aktivierten Gruppen erst bei der ersten Anmeldung des Benutzers im Arbeitsbereich „Rollen“ angezeigt.
- Hintergrundaufgaben – SaltStack Config führt regelmäßig einen Hintergrundauftrag aus, um nach allen verknüpften Gruppen und Benutzern in der Verzeichnisdienstverbindung zu suchen und sicherzustellen, dass sie noch vorhanden sind. Wenn die Gruppe oder der Benutzer entfernt wurde, deaktiviert der Backend-Server seinen Link in der Datenbank.
- Archivierte Gruppen und Benutzer – Alle Gruppen, die Sie aus Ihrer Verzeichnisdienstverbindung entfernen, werden archiviert. Obwohl diese Gruppen inaktiv sind und Benutzer sich nicht anmelden können, werden sie weiterhin im Arbeitsbereich „Rollen“ angezeigt und können ausgewählt werden. Dies gilt auch für alle entfernten Benutzer, die zuvor im Arbeitsbereich „Rollen“ angezeigt wurden.
- Geschachtelte Gruppen – Beim Arbeiten mit geschachtelten Gruppen aktivieren Sie neben einer übergeordneten Gruppe standardmäßig auch alle untergeordneten Gruppen.
Konfigurieren einer LDAP-Verbindung
Zum Konfigurieren von LDAP erstellen Sie zunächst eine Verbindung und aktivieren dann bestimmte LDAP-Benutzer und -Gruppen für die Authentifizierung bei SaltStack Config. Nach dem Aktivieren von Gruppen oder Benutzern können Sie deren Einstellungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) definieren.
Sie können die Felder mit den Standardeinstellungen vorab befüllen, die an Ihren Verzeichnisdienst angepasst sind, wie z. B. Active Directory oder OpenLDAP.
So richten Sie einen LDAP-Verzeichnisdienst ein:
- (Optional) Vor der Konfiguration von LDAP kann es hilfreich sein, die Verbindung und die Abfragen mithilfe eines Drittanbietertools zu testen. Für AD-Benutzer können Sie LDP oder ADSI Edit verwenden. Für Linux-Benutzer wird das Tool
ldapsearch
empfohlen.Hinweis: Weitere Informationen zu Tests mit diesen Tools finden Sie unter Vorgehensweise zur Überprüfung und Fehlerbehebung einer Verzeichnisdienstverbindung im Support Center. - Klicken Sie im seitlichen Menü auf Verwaltung > Authentifizierung.
- Klicken Sie auf Erstellen.
- Wählen Sie im Menü Konfigurationstyp die Option LDAP aus.
- (Optional) Klicken Sie unter Einstellungen auf Standardeinstellungen vorab befüllen und wählen Sie Ihren Verzeichnisdienst in der Dropdown-Liste aus.
Die Standardeinträge werden entsprechend Ihrer Auswahl befüllt. Bestimmte Einträge, wie z. B. Such-DN des Benutzers sind jedoch unvollständig. Stellen Sie sicher, dass die Einträge mit Ihrem Verzeichnisdienstschema übereinstimmen, und ersetzen Sie Platzhaltertext durch die korrekten Werte für Ihren Dienst.
- Geben Sie die Informationen für Ihre LDAP-Verbindung ein oder überprüfen Sie sie.
Einfach
Feld Beschreibung Name Name der LDAP-Verbindung. Da es sich hierbei lediglich um einen Anzeigenamen handelt, eignet sich die Eingabe eines beliebigen Namens, um dieses Authentifizierungs-Backend von anderen unterscheiden zu können. Host Adresse des LDAP-Hostservers, die als FQDN oder IP-Adresse formatiert ist. Port Port, auf dem der LDAP-Server konfiguriert ist. Die Standardeinstellung lautet 389
für nicht verschlüsseltes LDAP und636
für LDAP über SSL.Hintergrundsynchronisierung SaltStack Config validiert alle Benutzer und Gruppen für das Authentifizierungs-Backend in einem hier festgelegten Intervall (in Minuten). SSL - SSL aktivieren
-
Wählen Sie diese Option aus, um mithilfe des in den RaaS-Servereinstellungen angegebenen Zertifikats eine Verbindung mit dem LDAP-Server über SSL (Secure Sockets Layer) herzustellen. Bei fehlender Konfiguration wird der Zertifikatspeicher des Systems verwendet, um die SSL-Verbindung zu validieren. Weitere Informationen zum Einrichten des RaaS-Servers finden Sie unter
Einrichten von SSL-Zertifikaten im Handbuch „Installieren und Konfigurieren von
SaltStack Config“.
Wichtig: Wir empfehlen die Auswahl der Option „SSL aktivieren“. Wenn diese Option nicht ausgewählt ist, überträgt SaltStack Config Informationen im Klartext über eine unsichere Verbindung.
- Zertifikat validieren
- Wählen Sie diese Option aus, um sicherzustellen, dass die SSL-Zertifikate beim Herstellen der Verbindung validiert werden. Wählen Sie diese Option nicht aus, wenn die Validierung übersprungen werden soll, wie z. B. bei Verwendung von selbstsignierten Zertifikaten (nicht für die Produktion empfohlen).
Authentifizierung
Feld Beschreibung Basis-DN für Authentifizierung LDAP-Basis-DN (Distinguished Name). Hierbei handelt es sich um den Standort, über den Gruppen und Benutzer abgefragt werden, wie z. B.
DC=sse,DC=example,DC=com
.Hinweis: Die Seite „LDAP-Details“ enthält separate Eingabefelder für Objektklasse der Person, Name des Kontoattributs, Gruppenklasse, Name des Gruppenattributs und Synchronisierungszeitplan (Beschreibung siehe unten). Geben Sie diese Objekte daher nicht im Feld „Basis-DN“ ein.Admin-Bind-DN Für den LDAP-Server konfigurierter Administrator-DN. SaltStack Config verwendet diese Angabe für die Authentifizierung beim Verzeichnis für Benutzer- und Gruppen-Lookups. Nehmen Sie die Eingabe basierend auf der folgenden Syntax vor: cn=Administrator,cn=Users,dc=example,dc=com
.Kennwort des Admin-Bind-DN Das individuelle Kennwort des Administrators.
Dieses wird verschlüsselt in der Datenbank gespeichert. Das Kennwort wird nicht im Klartext gespeichert.
Bind-DN-Filter für Authentifizierung Filter angewendet, um einen bestimmten Benutzer auszuwählen. Das Ergebnis dieser Suche ist ein Benutzer-DN, der von SaltStack Config zur Bindung an das Verzeichnis verwendet wird und dem Benutzer Zugriff auf SaltStack Config gewährt. Dies ist nützlich, um die Anzahl der Ergebnisse zu begrenzen, die in einem bestimmten Suchlauf zurückgegeben werden.
Hinweis: Aufgrund der möglicherweise sehr komplexen Filtersyntax wird empfohlen, den Eintrag mithilfe von LDP,ldapsearch
oder eines ähnlichen Tools zu testen, um Ihren Eintrag zu überprüfen und vor dem Befüllen dieses Felds Anpassungen vorzunehmen.Der folgende Beispielfilter gibt nur ein Konto zurück, das mit dem angegebenen Benutzernamen der DevOps- oder Level II-Gruppen übereinstimmt.
(&(objectclass=user)(sAMAccountName={username})(|(memberOf=CN=DevOps,OU=Groups,OU=TestCompanyHQ,DC=adtest,DC=com)(memberOf=LevelII,OU=Groups,DC=adtest,DC=com)))
Wenn Sie vorab befüllte Standardwerte verwenden, stellen Sie sicher, dass Sie Platzhaltertext durch die korrekten Werte für Ihren Verzeichnisdienst ersetzen.
Hinweis: Lassen Sie dieses Feld beim Konfigurieren einer Baumstruktur leer.Remotename des eindeutigen ID-Attributs Name des Werts, der zur Identifizierung eindeutiger Einträge verwendet wird. Dies ist das eindeutige ID-Attribut für alle Einträge. In AD ist dies ObjectGUID
.Gruppen
Benutzer
Feld Beschreibung Such-DN für Benutzer Die Suchbasis für Benutzer, z. B. cn=Users,dc=example,dc=com
in AD odercn=people,cn=accounts,dc=example,dc=com
in anderen Verzeichnisdiensten. Gibt an, wo im Verzeichnis nach Benutzern gesucht werden soll. Verwendung mit dem folgenden Benutzersuchbereich.Benutzersuchbereich Gibt die Suchtiefe des Verzeichnisses gemäß der im Such-DN für Benutzer angegebenen Basis an, die einen von vier Werten aufweisen kann: Zeigen Sie die vier Werte an, die im Gruppensuchbereich beschrieben werden. DN-Filter für Benutzersuche Suchfilter zum Extrahieren von Benutzern aus dem Verzeichnis. Hierbei handelt es sich in der Regel um (objectClass=person)
, bei bestimmten AD-Konfigurationen jedoch möglicherweise um(objectCategory=user)
.Personenklasse Der Klassenname des Verzeichnisdiensts mit Benutzern, die Sie für die Anmeldung aktivieren möchten. Die meisten Systeme (einschließlich Active Directory) verwenden person
, einige bevorzugen jedochuser
oderinetOrgPerson
.Attribut der Benutzer-ID Der eindeutige Name des Benutzerkontoattributs. Für AD ist dies sAMAccountName
. Für andere Dienste ist dies häufiguid
odermemberUid
.Attribut der Benutzermitgliedschaft Der Name des Attributs im Gruppeneintrag, der den Benutzernamen enthält. Zu dem möglichen Beispielen gehören member
oderuniquemember
. - Klicken Sie zum Anzeigen der Einstellungen in einer temporären Vorschau auf Vorschau aktualisieren.
Im Vorschaufenster werden die für Ihre Verbindung ausgewählten Benutzer und Gruppen angezeigt. Sie können entweder die Registerkarte Gruppen oder Benutzer auswählen, um mit dem Dienst verknüpfte Benutzer und Gruppen nach Bedarf in der Vorschau anzuzeigen.
Wenn Sie Ihre Verbindung nicht erfolgreich in der Vorschau anzeigen können, finden Sie unter Fehlerbehebung weitere Tipps.
- Klicken Sie auf Speichern.
Ihre LDAP-Konfiguration wurde gespeichert. Um sicherzustellen, dass die Konfiguration korrekt ist, möchten Sie sich unter Umständen über ein Testbenutzerkonto bei SaltStack Config anmelden. Wenn Sie sich nicht erfolgreich anmelden können, finden Sie unter Fehlerbehebung weitere Tipps.
Hinweis: Bei LDAP-Konfigurationen speichert SaltStack Config die Verbindungseinstellungen, einschließlich der angegebenen Gruppen und Benutzer. Es ruft nur Gruppen und Benutzer innerhalb des von Ihnen definierten Geltungsbereichs ab und synchronisiert nicht das gesamte Verzeichnis. Weitere Informationen zur Funktionsweise finden Sie unter Authentifizierungsprozess.Mit der Zeit müssen Sie Ihr LDAP-Verzeichnis möglicherweise aktualisieren oder neu synchronisieren. Sie sollten Ihr Verzeichnis beispielsweise aktualisieren, wenn Sie neue Benutzer hinzugefügt haben und diese in SaltStack Config aktivieren möchten.