Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Технический справочник. Службы каталогов

1. Общие сведения

Платформа zVirt использует службы каталогов для аутентификации и авторизации пользователей. Взаимодействие со всеми интерфейсами Менеджера управления, включая Пользовательский портал, Портал администрирования и REST API, разрешено только авторизованным пользователям, прошедшим аутентификацию. Виртуальные машины в среде zVirt могут использовать одни и те же службы каталогов для аутентификации и авторизации, однако для этого они должны быть соответствующим образом настроены. В настоящее время с Менеджером управления могут использоваться следующие поставщики служб каталогов:

  • 389ds

  • 389ds RFC-2307 Schema

  • Active Directory

  • IBM Security Directory Server

  • IBM Security Directory Server RFC-2307 Schema

  • IPA

  • Novell eDirectory RFC-2307 Schema

  • OpenLDAP RFC-2307 Schema

  • OpenLDAP Standard Schema

  • Oracle Unified Directory RFC-2307 Schema

  • RFC-2307 Schema (Generic)

  • RHDS

  • RHDS RFC-2307 Schema

  • iPlanet

Менеджер управления взаимодействует с сервером каталогов для:

  • обеспечения входа на Портал (User, SuperUser, Admin, REST API)

  • обработки запросов на отображение информации о пользователях

  • добавления Менеджера управления в домен

Аутентификация - это проверка и идентификация стороны, которая сгенерировала те или иные данные, и целостности этих данных.

Принципал - сторона, чья личность проверяется.

Верификатор - сторона, требующая подтверждения личности принципала. В случае zVirt Менеджер управления - это верификатор, а пользователь - принципал.

Целостность данных - это гарантия того, что полученные данные совпадают с данными, сгенерированными принципалом.

Конфиденциальность и авторизация тесно связаны с аутентификацией. Конфиденциальность защищает данные от раскрытия тем, кто не должен их получить. Обеспечить повышенную конфиденциальность можно с помощью надежных методов аутентификации. Авторизация определяет, разрешено ли принципалу выполнять операцию. zVirt использует службы каталогов для соотнесения пользователей с ролями и обеспечения авторизации соответственно. Авторизация обычно выполняется после аутентификации принципала и может основываться на информации, которая является локальной или удаленной по отношению к верификатору.

В процессе установки локальный внутренний домен автоматически настраивается на администрирование среды zVirt. После завершения установки можно добавить еще домены.

2. Локальная аутентификация: Внутренний домен (internal)

В процессе установки Менеджер управления создает ограниченный внутренний домен администрирования. Этот домен отличается от домена AD или IdM, поскольку он существует на основе ключа в БД PostgreSQL, входящей в zVirt, а не как пользователь службы каталогов на сервере каталогов. Внутренний домен отличается и от внешнего тем, что в нем будет только один пользователь: admin@internal. Такой подход к первоначальной аутентификации позволяет попробовать zVirt без использования полнофункционального сервера каталогов и обеспечивает наличие административной учетной записи, необходимой для устранения любых проблем с внешними службами каталогов.

Пользователь admin@internal предназначен для начального конфигурирования среды, в которое входит установка хостов и включение их в домен, добавление внешних доменов аутентификации AD или IdM и делегирование разрешений пользователям из внешних доменов.

3. Удаленная аутентификация по GSSAPI

В zVirt под удаленной аутентификацией понимается аутентификация, обрабатываемая удаленной службой, а не Менеджером управления. Удаленная аутентификация используется для подключения пользователей или API к Менеджеру управления, инициируемых из домена AD, IdM или RHDS.

Администратор должен настроить Менеджер управления с помощью инструмента ovirt-engine-extension-aaa-ldap-setup, чтобы сделать его частью домена RHDS, AD или IdM. Для этого нужно, чтобы Менеджеру управления были выданы учетные данные для учетной записи из сервера каталогов RHDS, AD или IdM для домена с достаточными привилегиями для включения системы в домен. После добавления доменов Менеджер управления может аутентифицировать пользователей домена на сервере каталогов по паролю. Менеджер управления использует фреймворк "Уровень простой аутентификации и безопасности (Simple Authentication and Security Layer, SASL)", который, в свою очередь, использует Общий API сервисов безопасности (Generic Security Services Application Program Interface, GSSAPI) для безопасной проверки личности пользователя и определения доступного ему уровня авторизации.

6.1
Рисунок 1. Аутентификация по GSSAPI