启用基于角色的 LDAP
介绍如何使用 Cluster Manager UI 启用基于角色的 LDAP 身份验证和授权。
| Redis 企业软件 |
|---|
Redis Enterprise Software 使用基于角色的机制来启用 LDAP 身份验证和授权。
当用户尝试使用 LDAP 凭证访问 Redis Enterprise 资源时,凭证将在绑定请求中传递到 LDAP 服务器。如果请求成功,则会在用户的组中搜索授权访问原始资源的组。
基于角色的 LDAP 允许您授权集群管理用户(以前称为外部用户)和数据库用户。与任何访问控制角色一样,您可以定义角色授权的访问级别。
设置 LDAP 连接
要从集群管理器 UI 配置和启用 LDAP:
-
转到 LDAP > 配置>访问控制。
-
选择 + 创建。
-
在设置 LDAP 中,配置 LDAP 服务器设置、绑定凭证、身份验证查询和授权查询。
-
选择保存并启用。
LDAP 服务器设置
LDAP 服务器设置定义用于 LDAP 身份验证和授权的通信设置。这些包括:
| 设置 | 描述 |
|---|---|
| 协议类型 | 底层通信协议;必须是 LDAP、LDAPS 或 STARTTLS |
| 主机 | LDAP 服务器的 URL |
| 港口 | LDAP 服务器端口号 |
| 受信任的 CA 证书 | (仅限 LDAPS 或 STARTTLS 协议)受信任的证书颁发机构 (CA) 的证书 |
定义多个 LDAP 主机时,所有主机的组织树结构必须相同。
绑定凭据
这些设置定义绑定查询的凭据:
| 设置 | 描述 |
|---|---|
| 可分辨名称 | 例:cd=admin,dc=example,dc=org |
| 密码 | 例:admin1 |
| 客户端证书认证 | (仅限 LDAPS 或 STARTTLS 协议)勾选启用 |
| 客户端公钥 | (仅限 LDAPS 或 STARTTLS 协议)用于身份验证的客户端公钥 |
| 客户端私钥 | (仅限 LDAPS 或 STARTTLS 协议)用于身份验证的客户端私钥 |
身份验证查询
这些设置定义身份验证查询:
| 设置 | 描述 |
|---|---|
| 搜索用户 | Template 或 Query |
| 模板 | (模板搜索)例:cn=%u,ou=dev,dc=example,dc=com |
| 基础 | (查询搜索)例:ou=dev,dc=example,dc=com |
| 滤波器 | (查询搜索)例:(cn=%u) |
| 范围 | (查询搜索)必须是 baseObject、singleLevel 或 wholeSubtree |
在此示例中,%u替换为尝试访问 Redis Enterprise 资源的用户名。
权限查询
这些设置定义组权限查询:
| 设置 | 描述 |
|---|---|
| 搜索组依据 | 属性 (Attribute) 或查询 (Query) |
| 属性 | (属性搜索)例:memberOf(区分大小写) |
| 基础 | (查询搜索)例:ou=groups,dc=example,dc=com |
| 滤波器 | (查询搜索)例:(members=%D) |
| 范围 | (查询搜索)必须是 baseObject、singleLevel 或 wholeSubtree |
在此示例中,%D替换为尝试访问 Redis Enterprise 资源的用户的可分辨名称。
身份验证超时
Authentication timeout (身份验证超时) 设置确定在用户身份验证期间与 LDAP 服务器的连接超时。
默认情况下,超时为 5 秒,建议在大多数情况下使用。
但是,如果您为 LDAP 服务器启用多重身份验证 (MFA),则可能需要增加超时时间为 MFA 验证提供足够的时间。您可以将其设置为 5-60 秒范围内的任何整数。
更多信息
- 将 LDAP 组映射到访问控制角色
- 更新数据库 ACL 以授权 LDAP 访问
- 了解有关 Redis Software 安全性和实践的更多信息