0.8.0 0.7.3 0.6.0

Авторизация#

Angie ADC поддерживает ролевое разграничение доступа к функциям системы. Пользователям может быть назначена одна из следующих ролей:

  • Администратор: обладает полными правами на все действия в системе;

  • Супервизор: может только просматривать информацию в системе.

Роли для локальных пользователей назначаются при создании в консоли. Роли для внешних пользователей определяются на основе принадлежности к LDAP-группам. Для этого небоходимо подключить сервер внешней авторизации (LDAP). Принятые решения по авторизации записываются в журналы событий системы. Записи можно экспортировать на внешний syslog-сервер для дальнейшего аудита.

Примечание

По умолчанию в Angie ADC предустановлен локальный пользователь admin с правами администратора.

Чтобы настроить авторизацию для внешних пользователей, необходимо:

  • включить внешнюю авторизацию и подключить LDAP-сервер.

  • задать настройки сервисной учетной записи для подключения Angie ADC к LDAP-серверу.

  • задать базовый DN и фильтры для поиска пользователей и групп на LDAP-сервере.

  • настроить соответствие LDAP-групп и ролей пользователей в Angie ADC.

Примечание

На стороне LDAP-сервера также должны быть настроены пользователи, группы и сервисная учетная запись для Angie ADC.

Включение и настройка внешней авторизации#

  1. Откройте консоль Angie ADC. В панели навигации перейдите СистемаАутентификация и авторизация.

    Откроется страница с настройками аутентификации и авторизации для внешних пользователей.

  2. В блоке Внешняя авторизация (LDAP) переведите переключатель Включить внешнюю авторизацию в положение "включено".

  3. Задайте параметры подключения к серверу:

    • Сервер: IP-адрес или доменное имя LDAP-сервера.

    • Порт: порт подключения к LDAP-серверу (по умолчанию 389).

  4. Укажите параметры защиты соединения: TLS (LDAPS) или startTLS, если необходимо использовать безопасное соединение при подключении к серверу.

  5. В блоке Сервисная учетная запись (bind) укажите DN учетной записи, с которой будет выполняться подключение к LDAP-серверу. Можно использовать учетную запись администратора LDAP-сервера, например cn=admin,dc=example,dc=com.

  6. Если требуется, установите флажок Подключаться с паролем и укажите пароль сервисной учетной записи.

  7. В блоке Поиск и роли укажите следующие параметры:

    • Базовый DN пользователей, например ou=users,dc=example,dc=com;

    • Фильтр поиска пользователей, например (uid=%s);

    • Базовый DN групп, например ou=groups,dc=example,dc=com;

    • Фильтр поиска групп, например (member=%s).

  8. В блоке Маппинг LDAP-групп и ролей нажмите Добавить правило и задайте соответствие LDAP-групп пользователей ролям в Angie ADC. Например, если на LDAP-сервере для администраторов создана группа dn: cn=<group_name>,ou=groups,dc=example,dc=com, то укажите значение cn=<group_name>,ou=groups,dc=example,dc=com в поле DN группы и выберите роль Администратор (admin).

  9. Нажмите Сохранить.

Внешняя авторизация будет настроена и включена. При входе внешнего пользователя в систему на LDAP-сервере будет выполняться поиск групп, в которых он состоит. Если найденные группы совпадают с группами, указанными в маппинге, то пользователю будет назначена соответствующая роль. Если пользователь не найден ни в одной из групп или LDAP-группы недоступны или некорректны, доступ к системе будет запрещен.

Выключение внешней авторизации#

  1. Откройте консоль Angie ADC. В панели навигации перейдите СистемаАутентификация и авторизация.

    Откроется страница с настройками аутентификации и авторизации для внешних пользователей.

  2. В блоке Внешняя авторизация переведите переключатель Включить внешнюю авторизацию в положение "выключено".

Внешняя авторизация будет отключена. При входе в систему для внешних пользователей будет отображаться ошибка 403.