LDAP 身份验证
描述 Redis Enterprise Software 如何集成 LDAP 身份验证和授权。此外,还介绍了如何为 Redis Enterprise Software 的部署启用 LDAP。
| Redis 企业软件 |
|---|
Redis Enterprise Software 通过其基于角色的访问控制 (RBAC) 支持轻量级目录访问协议 (LDAP) 身份验证和授权。您可以使用 LDAP 来授权对 Cluster Manager UI 的访问并控制数据库访问。
您可以使用 Redis Enterprise Cluster Manager UI 或 REST API 配置 LDAP 角色。
运作方式
以下是基于角色的 LDAP 集成的工作原理:
-
用户使用其 LDAP 凭证登录。
根据 LDAP 配置详细信息,用户名将映射到 LDAP 可分辨名称。
-
尝试使用 Distinguished Name (专有名称) 和密码执行简单的 LDAP 绑定请求。如果绑定失败,则登录将失败。
-
获取用户的 LDAP 组成员资格。
使用配置的 LDAP 详细信息,获取用户的组成员资格列表。
-
将用户的 LDAP 组成员资格与映射到本地角色的成员资格进行比较。
-
确定用户的某个组是否有权访问目标资源。如果是这样,则向用户授予授予角色的访问权限级别。
要访问 Cluster Manager UI,用户需要属于映射到管理角色的 LDAP 组。
对于数据库访问,用户需要属于映射到数据库访问控制列表 (ACL) 中列出的角色的 LDAP 组。授予组的权限决定了用户的访问级别。
先决条件
在 Redis Enterprise 中启用 LDAP 之前,您需要:
-
以下 LDAP 详细信息:
- 服务器 URI,包括主机、端口和协议详细信息。
- 安全协议的证书详细信息。
- 绑定凭证,包括可分辨名称、密码以及用于证书身份验证的客户端公有密钥和私有密钥。
- 身份验证查询详细信息,无论是模板还是查询。
- 授权查询详细信息,无论是属性还是查询。
- 您将用于授予对 Redis Enterprise 资源的访问权的 LDAP 组的可分辨名称。
-
与要授权的访问级别相对应的 LDAP 组。每个 LDAP 组都将映射到一个 Redis Enterprise 访问控制角色。
-
每个 LDAP 组的 Redis Enterprise 访问控制角色。在启用 LDAP 之前,您需要设置基于角色的访问控制 (RBAC)。
启用 LDAP
要启用 LDAP:
-
从 Cluster Manager UI 的 Access Control > LDAP 中,选择 Configuration 选项卡并启用 LDAP 访问。
-
将 LDAP 组映射到访问控制角色。
-
更新数据库访问控制列表 (ACL) 以授权角色访问。
如果您已经拥有适当的角色,则可以更新这些角色以包括 LDAP 组。
更多信息
- 启用和配置基于角色的 LDAP
- 将 LDAP 组映射到访问控制角色
- 更新数据库 ACL 以授权 LDAP 访问
- 了解有关 Redis Enterprise Software 安全性和实践的更多信息