本文的背景环境是,FP部署在运维域中,使用运维域做基本认证,但却希望让另一个域(比如客户域)的用户使用其自己的域帐号来登录.
1.在动态组映射中设置的验证,只是用来校验在验证服务器中是否存在登录的用户,并不校验密码,它是利用预置在“请求配置”里的具有域权限的帐号来查询这个用户是否存在于验证服务器中,如果存在,并命中了组映射中的条目,那么它将接着使用master group中的指定的验证方式来验证,这个时候才是真正的核对用户名和密码信息。
例如,假设想让A域中某个用户能使用FP,那么必须先在运域中设置一个账户,这个账户必须与其A域中的账户名相同,密码则可以不通,此时完全可以在运维域中的某个组里给其设置一个没有什么权限的账户,密码也可以随便设定,设定完毕后,此用户只需用A的实际帐号登录即可。
2.动态资源组映射是只与映射中配置的验证服务器有关的,还是上面这个例子,只要这个用户在运维域中有帐号,并且匹配上了资源组映射中的某个条目,那么这个人其实就已经被分配了可访问资源,只是用户必须在彻底通过认证(即实际master group对应的验证服务器的认证)才可以真实的看到这些资源,简单的说,FP已经知道要给你什么样的资源,但必须确认你是合法用户后方告诉你。
所以说,对于想让A域用户能有权限访问资源,只需这样做:
a.首先,在运维域中给其分配到某个组中(运维域应该提前严格规划好域组与FP组资源的关系),比如分配到一个叫 A域成员 的组,它的帐号名应该与其A域中帐号名相同,密码可以不同。
b.在FP中的组资源映射中,设置 A域成员 域组 ---------资源组(例如叫A资源组,该组只可以访问报工系统)的对应。
c.在FP的master group映射中,设置 A域成员 域组--------master group 的映射(例如叫A主组),记得注意master group映射表是有优先级关系得。
转载请注明:http://www.myf5.cn
经过这样的设置后,当用户登录FP时,验证的全过程则是这样的:
用户填写在登录框中填写A域的域帐号----FP读取填写的用户名-------FP向运维域服务器查询该用户名是否存在---------如存在,是属于域上哪个组?----------运维域控告知FP结果--------FP查询master group映射表,查询到第一个匹配条目,根据该条目找到对应的主组,同时此时查询资源组映射表,查询是否有条目被匹配,有则分配对应的资源给该用户-------FP根据刚才找到的主组中的设置(验证方式)来验证该用户是否合法(例如,A域认证,则将用户填写的帐号和密码交给A域控校验,如果是RSA令牌认证,用户在填写帐号的时候应该填写令牌上的动态口令了,然后交RSA处理)-------FP根据验证结果,如果合法,则显示对应的资源给该用户,如果不合法,则拒绝用户。
注意的一点:资源是按照 动态资源映射+主组静态分配资源+个人帐号静态分配资源 累加给用户的,上面的过程中,如果动态资源映射表中没条目,那么FP会看主组是否有静态分配的资源,最后FP还会看这个帐号有没有在FP上有没有单独设置过静态资源.
文章评论