管理-LDAP-组-外部用户-in-65
在本文中,我们将讨论Couchbase Server 6中新的LDAP组功能。5以及让你开始的简单步骤。 通过在Couchbase服务器中集成LDAP,您可以利用现有的组织结构,通过RBAC角色来管理基于组的权限。
安装、运行和配置LDAP服务器的细节不在本博客的范围之内;但是,为了演示一个工作示例,我们将使用在线ldap测试服务器(称为LDAP。f。umsys。在我们的配置中。
You may also like:
Working With LDAP and Active Directory
你可能还喜欢: 使用LDAP和活动目录 如果您是系统管理员,您可能已经知道LDAP代表什么,但是对于那些不熟悉LDAP的人来说,它意味着轻量级目录访问协议,它管理的是用户 ,组 ,和 组织单位 or 在LDAP目录中,每个对象都有自己唯一的路径,称为可分辨名称 或者
DN
。
例如,我们可能有以下分别用于用户和组的域名: cn =佩里,ou =用户,DC =示例,dc=com ou =化学家,DC =示例,dc=com LDAP组用于将LDAP用户分组在一起,以简化Couchbase之外的安全管理和维护。
通常,Couchbase中的用户可以根据分配给该用户的RBAC权限对资源采取若干操作。例如,员工可能需要对所有存储桶进行选择访问。 在没有LDAP组支持的情况下,用户入职包括为每个员工创建用户帐户(域=外部),并分别为他们分配桶[‘* ‘上的选择权限。
带沙发底座6。 5、可以创建LDAP组,将具有相似工作角色的用户捆绑在外部LDAP服务器中,这些外部LDAP组可以在Couchbase服务器中映射到Couchbase组。
例如,如下图所示,属于组=工作人员的用户在LDAP服务器中,而在Couchbase服务器中,外部LDAP工作人员组映射到员工组。 Couchbase角色1和3随后被分配给员工组。
Couchbase中的固定角色可以分配给单个用户或组 LDAP查询是一个向LDAP目录服务请求信息的命令。
例如,如果您想查看特定用户属于哪个组,您的查询是: 基础:
DC =示例,dc=com
过滤器: (&(object class = Groupof UniqueName)(unique member = uid = % u,DC =示例,dc=com))
此外,对于其他LDAP字段,您可以使用如下所示的值: 在Couchbase的管理界面中,您现在可以在安全选项卡中的用户和组视图之间切换。 您必须是完全管理员或安全管理员才能访问安全选项卡。
创建一个组并为其分配角色很容易。 只需单击用户界面右上角的“添加组”,选择组名以及要与该组关联的角色,您就可以创建一个组。
在这种情况下,如果您正在使用外部LDAP服务器,请不要忘记将此组映射到LDAP组。
以红色显示的映射需要一条到LDAP组节点的路径。例如,如果我们想将其映射到我们的LDAP服务器中的科学家组,映射表达式将是:
ou =开发,ab =测试
请注意,组的外部映射指的是LDAP节点路径(即
-
映射到Couchbase组员工的LDAP组化学家;LDAP组科学家映射到Couchbase组主管,LDAP组数学家映射到Couchbase组经理)。 以下是基于我们目前设置的不同组和角色映射的快速总结:
-
这意味着: 行政人员实际上是完全的行政人员,拥有Couchbase的所有特权。 这个组被映射到科学家LDAP组。
-
管理器对存储桶具有完全读写权限,以及群集和存储桶管理权限。 他/她无权访问安全设置。
这个组被映射到数学家LDAP组。
员工应该只能为任何存储桶发出N1QL SELECT语句并管理索引。
该组被映射到化学家LDAP组。
作为“特斯拉”:执行科学家
请注意,登录的用户是“tesla”,显示在右上角。
请注意,特斯拉是Couchbase集群的完全管理员
作为“欧几里德”:经理数学家
登录的用户是“euclid”,显示在右上角。
请注意,Euclid无法更改安全设置,并且“安全”选项未显示在左侧菜单中。
作为“居里”:员工化学家登录的用户是“居里”,显示在右上角。 请注意,居里可以发布选择语句,但不能插入语句。
LDAP组支持是Couchbase Server 6中一个激动人心的新特性。
5.