Verificatieproces

SaltStack Config gebruikt het volgende backendproces om LDAP-gebaseerde systemen te verifiëren:

• Voorbeeld - Wanneer u een voorbeeld van uw verbindingsinstellingen bekijkt, haalt SaltStack Config een lijst met gebruikers en groepen op van uw LDAP-server zodat u kunt controleren of u de juiste configuratieparameters hebt ingevoerd.
• Aanmelding - Wanneer een gebruiker verificatiegegevens invoert op het SaltStack Config-aanmeldingsformulier, controleert de backendserver op dat moment of er een overeenkomst is in de database. Vervolgens wordt een opzoekproces gestart met meerdere stappen en wordt de gebruiker geverifieerd wanneer een overeenkomst is gevonden. Gezien dit opzoekproces worden ingeschakelde individuele gebruikers in ingeschakelde groepen pas in de werkplek Rollen (Roles) weergegeven nadat ze zich een eerste keer hebben aangemeld.
• Achtergrondtaken - SaltStack Config voert regelmatig een achtergrondopdracht uit om elke gekoppelde groep en gebruiker in de Directory Service-verbinding op te zoeken om er zeker van te zijn dat deze nog bestaat. Als de groep of gebruiker is verwijderd, deactiveert de backendserver de link in de database.
• Gearchiveerde groepen en gebruikers - Groepen die u uit uw Directory Service-verbinding verwijdert, worden gearchiveerd. Hoewel deze groepen inactief zijn en gebruikers zich niet kunnen aanmelden, zijn ze nog steeds zichtbaar in de werkplek Rollen (Roles) en kunnen ze worden geselecteerd. Dit is ook van toepassing op verwijderde gebruikers die voorheen zichtbaar waren in de werkplek Rollen (Roles).
• Geneste groepen - Wanneer u met geneste groepen werkt, door een bovenliggende groep in te schakelen, schakelt u standaard ook alle onderliggende groepen in.

Een LDAP-verbinding configureren

Om LDAP te configureren, maakt u eerst een verbinding en schakelt u vervolgens specifieke LDAP-gebruikers en -groepen in om zich bij SaltStack Config te verifiëren. Wanneer u groepen of gebruikers hebt ingeschakeld, kunt u hun instellingen voor op rollen gebaseerde toegangscontrole definiëren.

U kunt ervoor kiezen om de velden vooraf in te vullen met standaardinstellingen die zijn aangepast aan uw Directory Service, zoals Active Directory of OpenLDAP.

Een LDAP Directory Service instellen:

1. (Optioneel) Voordat u LDAP configureert, is het wellicht handig om uw verbinding en query's te testen met een tool van derden. AD-gebruikers kunnen LDP of ADSI Edit gebruiken. Voor Linux-gebruikers is ldapsearch de aanbevolen tool.
   Opmerking: Zie Hoe een Directory Service-verbinding controleren en problemen oplossen in Help en ondersteuning voor meer informatie over het testen met deze tools .
2. Klik Beheer > Verificatie (Administration > Authentication) in het zijmenu.
3. Klik op Maken.
4. Selecteer de optie LDAP in het menu Configuratietype (Configuration Type).
5. (Optioneel) Klik onder Instellingen (Settings) op Vooraf invullen (Prefill) en selecteer uw Directory Service uit de vervolgkeuzelijst.

   De standaardwaarden worden automatisch ingevuld op basis van uw selectie. Bepaalde vermeldingen, zoals een DN voor een zoekopdracht voor gebruikers (User Search DN) zijn echter niet compleet. Controleer of de vermeldingen overeenkomen met de planning van uw Directory Service en vervang de tekst van de tijdelijke aanduiding door de juiste waarden voor uw service.

6. Voer de informatie voor uw LDAP-verbinding in of verifieer deze.

   Basis

   Veld	Beschrijving
   Naam	Naam van de LDAP-verbinding. Aangezien dit een schermnaam is, is het gebruik van een naam handig om deze verificatiebackend te onderscheiden van andere.
   Host	LDAP-hostserveradres, opgemaakt als FQDN of IP-adres.
   Poort	Poort waarop de LDAP-server is geconfigureerd. De standaardwaarde is 389 voor niet-versleutelde LDAP en 636 voor LDAP via SSL.
   Achtergrondsynchronisatie (Background Sync)	SaltStack Config valideert alle gebruikers en groepen bij de verificatiebackend met een ingesteld interval dat hier is gedefinieerd (in minuten).
   SSL	SSL inschakelen (Enable SSL) Selecteer dit om via een Secure Sockets Layer (SSL) verbinding te maken met de LDAP-server met behulp van het certificaat dat is opgegeven in de instellingen voor uw RaaS-server. Als er geen configuratie wordt opgegeven, wordt het archief voor systeemcertificaten gebruikt om de SSL-verbinding te valideren. Zie SSL-certificaten instellen in de handleiding SaltStack Config installeren en configureren voor meer informatie over het instellen van de RaaS-server. Belangrijk: U wordt aanbevolen SSL in te schakelen. Als u deze optie niet selecteert, verzendt SaltStack Config informatie in platte tekst via een onveilige verbinding. Certificaat valideren (Validate Certificate) Selecteer deze optie om ervoor te zorgen dat de SSL-certificaten worden gevalideerd bij het verbinden. Selecteer de optie niet als u validatie wilt overslaan, bijvoorbeeld wanneer u zelfondertekende certificaten gebruikt (niet aanbevolen voor productie).

   Verificatie

   Veld	Beschrijving
   Base DN voor verificatie (Auth Base DN)	Base DN voor LDAP. Dit is de locatie vanwaar query's voor groepen en gebruikers worden uitgevoerd, bijvoorbeeld DC=sse,DC=example,DC=com. Opmerking: De pagina met LDAP-gegevens bevat afzonderlijke invoervelden voor de objectklasse van de persoon, de kenmerknaam voor het account, de groepsklasse, de kenmerknaam voor de groep en de synchronisatieplanning zoals hieronder beschreven. Neem deze objecten daarom niet op in het veld Base DN.
   Bind DN voor beheerder (Admin Bind DN)	Beheerder-DN die is geconfigureerd voor de LDAP-server. SaltStack Config gebruikt deze om de directory te verifiëren voor opzoekingen van gebruikers en groepen. Voer invoer in op basis van de volgende syntaxis: cn=Administrator,cn=Users,dc=example,dc=com.
   Wachtwoord van Bind DN voor beheerder (Admin Bind DN Password)	Het individuele wachtwoord van de beheerder. Dit wordt versleuteld opgeslagen in de database. Het wordt niet als platte tekst opgeslagen.
   Filter van Bind DN voor verificatie (Auth Bind DN Filter)	Filter dat wordt toegepast om een specifieke gebruiker te selecteren. Het resultaat van deze zoekopdracht is een gebruikers-DN die door SaltStack Config wordt gebruikt om te binden met de directory en de gebruiker toegang tot SaltStack Config te verlenen. Dit is handig om het aantal resultaten te beperken dat wordt geretourneerd voor een bepaalde zoekopdracht. Opmerking: Omdat de filtersyntaxis best complex kan worden, wordt u aanbevolen de vermelding te testen met LDP, ldapsearch, of een soortgelijke tool om uw vermelding te valideren en wijzigingen aan te brengen voordat dit veld wordt gevuld. Het volgende voorbeeldfilter retourneert alleen een account dat overeenkomt met de opgegeven gebruikersnaam die deel uitmaakt van de groepen DevOps of Niveau II (Level II). (&(objectclass=user)(sAMAccountName={username})(|(memberOf=CN=DevOps,OU=Groups,OU=TestCompanyHQ,DC=adtest,DC=com)(memberOf=LevelII,OU=Groups,DC=adtest,DC=com))) Als u vooraf ingevulde standaardwaarden gebruikt, moet u de tekst van de tijdelijke aanduiding vervangen door de juiste waarden voor uw Directory Service. Opmerking: Wanneer u een foreststructuur configureert, laat u dit veld leeg.
   Kenmerknaam van externe unieke id (Remote Unique ID Attribute Name)	Naam van de waarde die wordt gebruikt om unieke vermeldingen te identificeren. Dit is het kenmerk van de unieke id voor alle vermeldingen. In AD is dit ObjectGUID.

   Groepen

   Veld	Beschrijving
   DN voor zoekopdracht naar groepen (Group Search DN)	De zoekbasis voor groepen. In AD kan dit bijvoorbeeld cn=Groups,dc=example,dc=com zijn. Geeft aan waar in de directory naar groepen moet worden gezocht. Gebruik dit samen met Zoekbereik voor groepen (Group Search Scope) hieronder.
   Zoekbereik voor groepen (Group Search Scope)	Geeft de zoekdiepte in de directory aan vanaf de basis die is aangegeven in DN voor zoekopdracht naar groepen (Group Search DN) en kan een van vier waarden hebben: baseObject Waarde 0, vaak aangeduid als base. U kunt deze gebruiken om alleen naar dit object en geen andere te zoeken. singleLevel Waarde 1, vaak aangeduid als one. Gebruik deze om alleen direct onderliggende elementen van de basisvermelding te overwegen voor overeenkomsten. wholeSubtree Waarde 2 (of SUBTREE in ldap3), vaak aangeduid als sub. Gebruik deze om te zoeken in de basis en alle ondergeschikte niveaus, ongeacht de diepte. subordinateSubtree Waarde 3, vaak aangeduid als subordinates. Deze is hetzelfde als wholeSubtree maar de vermelding voor basiszoekopdracht wordt genegeerd.
   DN-filter voor zoekopdracht naar groepen (Group Search DN Filter)	Zoekfilter om groepen uit de directory te halen. Dit is doorgaans (objectClass=group), maar in sommige AD-configuraties kan dit (objectCategory=group) zijn. Gebruik dit als aanvulling op Groepsklasse (Group Class) voor meer details.
   Groepklasse (Group Class)	Naam van de objectklasse die wordt gebruikt om groepen te definiëren, bijvoorbeeld groupOfNames.
   Kenmerk van groepsnaam (Group Name Attribute)	De naam van het kenmerk dat u wilt gebruiken voor de groepsnaam. Voer een kenmerk met één waarde in, en niet met meerdere waarden.
   Kenmerk van groepslidmaatschap (Group Membership Attribute)	De naam van het kenmerk in de gebruikersinvoer dat de groepsnaam bevat, bijvoorbeeld memberOf.

   Gebruikers

   Veld	Beschrijving
   DN van zoekopdracht voor gebruikers (User Search DN)	De zoekbasis voor gebruikers, bijvoorbeeld cn=Users,dc=example,dc=com in AD of cn=people,cn=accounts,dc=example,dc=com in andere Directory Services. Geeft aan waar in de directory naar gebruikers moet worden gezocht. Gebruik dit samen met Zoekbereik voor gebruikers (User Search Scope) hieronder.
   Zoekbereik voor gebruikers (User Search Scope)	Geeft de zoekdiepte van de directory aan vanaf de basis die is aangegeven in DN van zoekopdracht voor gebruikers (User Search DN) en kan een van vier waarden hebben. Zie de vier waarden die worden beschreven bij Zoekbereik voor groepen (Group Search Scope).
   DN-filter voor zoekopdracht naar groepen (User Search DN Filter)	Zoekfilter om gebruikers uit de directory te halen. Dit is doorgaans (objectClass=person), maar in sommige AD-configuraties kan dit (objectCategory=user) zijn.
   Persoonsklasse (Person Class)	De klassenaam van de Directory Service met gebruikers die u wilt toestaan om zich aan te melden. De meeste systemen (inclusief Active Directory) maken gebruik van person, maar sommige geven de voorkeur aan user of inetOrgPerson.
   Kenmerk van gebruikers-id (User ID Attribute)	De unieke naam van het gebruikersaccountkenmerk. Voor AD is dit sAMAccountName. Voor andere services is dit vaak uid of memberUid.
   Kenmerk van gebruikerslidmaatschap (User Membership Attribute)	De naam van het kenmerk in de groepsvermelding dat de gebruikersnaam bevat. Mogelijke voorbeelden zijn member en uniquemember.

7. Als u een voorbeeld van uw instellingen wilt bekijken zonder deze op te slaan, klikt u op Voorbeeld bijwerken (Update Preview).

   In het voorbeeldvenster ziet u gebruikers en groepen die voor uw verbinding zijn geselecteerd. U kunt het tabblad Groepen (Groups) of Gebruikers (Users) selecteren om een voorbeeld te bekijken van gebruikers en groepen die zo nodig aan de service zijn gekoppeld.

   Zie Problemen oplossen voor tips als u geen voorbeeld van uw verbinding kunt bekijken.

8. Klik op Opslaan.

   Uw LDAP-configuratie is opgeslagen. Om te controleren of de configuratie correct is, kunt u proberen om u bij SaltStack Config aan te melden vanaf een testgebruikersaccount. Zie Problemen oplossen voor tips als u zich niet kunt aanmelden.

   Opmerking: Voor LDAP-configuraties slaat SaltStack Config de verbindingsinstellingen op, inclusief de groepen en gebruikers die zijn geïdentificeerd. Er worden alleen groepen en gebruikers opgehaald binnen het bereik dat u hebt gedefinieerd en niet de volledige directory wordt gesynchroniseerd. Zie Verificatieproces voor meer informatie over de werking.

   Na enige tijd moet u uw LDAP-directory mogelijk vernieuwen of opnieuw synchroniseren. U moet bijvoorbeeld uw directory bijwerken als u nieuwe gebruikers hebt toegevoegd en u ze wilt inschakelen in SaltStack Config.