Metode otentikasi¶
Metode otentikasi yang diimplementasikan secara internal¶
Layanan Identitas dapat menyimpan kredensial pengguna di Database SQL, atau mungkin menggunakan server direktori LDAP-compliant. Database Identitas mungkin terpisah dari database yang digunakan oleh layanan OpenStack lainnya untuk mengurangi risiko kompromi kredensial yang tersimpan.
Bila Anda menggunakan nama pengguna dan kata sandi untuk diautentikasi, Identitas tidak memberlakukan kebijakan tentang kekuatan kata sandi, kedaluwarsa, atau upaya otentikasi yang gagal seperti yang direkomendasikan oleh NIST Special Publication 800-118 (draf). Organisasi yang ingin menerapkan kebijakan kata sandi yang lebih kuat harus mempertimbangkan untuk menggunakan ekstensi Identitas atau layanan otentikasi eksternal.
LDAP menyederhanakan integrasi otentikasi Identitas ke dalam layanan direktori dan proses pengelolaan akun perusahaan yang ada.
Kebijakan otentikasi dan otorisasi di OpenStack dapat didelegasikan ke layanan lain. Kasus penggunaan yang khas adalah organisasi yang berusaha menyebarkan awan pribadi dan sudah memiliki database karyawan dan pengguna dalam sistem LDAP. Dengan menggunakan ini sebagai otoritas otentikasi, permintaan ke layanan Identitas didelegasikan ke sistem LDAP, yang kemudian akan memberi otorisasi atau menolak berdasarkan kebijakannya. Setelah otentikasi berhasil, layanan Identitas kemudian menghasilkan token yang digunakan untuk akses ke layanan resmi.
Perhatikan bahwa jika sistem LDAP memiliki atribut yang didefinisikan untuk pengguna seperti admin, finance, HR dll, ini harus dipetakan ke dalam peran dan kelompok di dalam Identity untuk digunakan oleh berbagai layanan OpenStack. File /etc/keystone/keystone.conf memetakan atribut LDAP ke atribut Identitas.
Layanan Identity MUST NOT diizinkan untuk menulis ke layanan LDAP yang digunakan untuk otentikasi di luar penerapan OpenStack karena hal ini akan memungkinkan keystone user yang memiliki hak istimewa untuk membuat perubahan pada direktori LDAP. Hal ini akan memungkinkan eskalasi hak istimewa di dalam organisasi yang lebih luas atau memfasilitasi akses tidak sah ke informasi dan sumber daya lainnya. Dalam penyebaran seperti itu, user provisioning akan berada di luar wilayah penerapan OpenStack.
Metode otentikasi eksternal¶
Organisasi mungkin ingin menerapkan otentikasi eksternal untuk kompatibilitas dengan layanan autentikasi yang ada atau untuk menerapkan persyaratan kebijakan otentikasi yang lebih kuat. Meskipun password adalah bentuk otentikasi yang paling umum, namun dapat dikompromikan melalui banyak metode, termasuk logging keystroke dan kompromi kata sandi. Layanan otentikasi eksternal dapat memberikan bentuk otentikasi alternatif yang meminimalkan risiko dari lemahnya kata kunci.
Ini termasuk:
- Penegakan kebijakan password
Memerlukan password pengguna agar sesuai dengan standar panjang minimum, keragaman karakter, kekedaluwarsaan, atau usaha login yang gagal. Dalam skenario otentikasi eksternal, ini adalah kebijakan password pada identity store aslinya.
- Autentikasi mult-faktor
Layanan otentikasi mengharuskan pengguna memberikan informasi berdasarkan sesuatu yang mereka miliki, seperti token password one-time atau sertifikat X.509, dan sesuatu yang mereka ketahui, seperti password.
- Kerberos
Protokol jaringan otentikasi bersama menggunakan 'tickets' untuk mengamankan komunikasi antara client dan server. Tiket Kerberos ticket-granting dapat digunakan untuk menyediakan tiket secara aman dengan layanan yang ada.
