Kimlik doğrulama yöntemleri¶
Dahili olarak uygulanan kimlik doğrulama yöntemleri¶
Kimlik servisi kullanıcı kimlik bilgilerini bir SQL Veritabanında saklayabilir veya LDAP uyumlu bir dizin sunucusu kullanabilir. Kimlik veritabanı, depolanmış kimlik bilgilerinin ele geçirme riskini azaltmak için diğer OpenStack servisleri tarafından kullanılan veritabanlarından ayrı olabilir.
Kimliği doğrulamak için bir kullanıcı adı ve parola kullandığınızda Kimlik, NIST Özel Yayın 800-118 (taslak) tarafından önerilen parola dayanıklılığı, son kullanma tarihi veya başarısız kimlik doğrulama girişimleri üzerine ilkeleri zorlamaz. Daha güçlü parola politikaları uygulamak isteyen organizasyonlar, kimlik uzantılarını veya harici kimlik doğrulama servislerini kullanmayı düşünmelidir.
LDAP, kimlik doğrulamasını bir organizasyonun varolan dizin hizmeti ve kullanıcı hesabı yönetimi süreçlerine entegrasyonunu basitleştirir.
OpenStack’teki kimlik doğrulama ve yetkilendirme politikası başka bir servise devredilebilir. Tipik bir kullanım durumu, özel bir bulut dağıtmayı amaçlayan ve zaten bir LDAP sistemindeki çalışanların ve kullanıcıların bir veritabanına sahip bir organizasyondur. Bunu kimlik doğrulama yetkilisi olarak kullanarak Kimlik servisine verilen talepler LDAP sistemine devredilir; bu LDAP sistemi politikalarına dayanarak yetkilendirir veya reddeder. Kimlik doğrulama işlemi başarıyla tamamlandıktan sonra, Kimlik servisi yetkili servislere erişmek için kullanılan bir belirteç üretir.
LDAP sistemi kullanıcı için yönetici, finans, HR vb gibi tanımlanmış niteliklere sahipse, bunların çeşitli OpenStack servisleri tarafından kullanılmak üzere Kimlik içindeki roller ve gruplar halinde eşleştirilmesi gerektiğini unutmayın. /etc/keystone/keystone.conf dosyası, LDAP özniteliklerini Kimlik niteliklerine eşleştirir.
Kimlik servisi, OpenStack dağıtımının dışında kimlik doğrulaması için kullanılan LDAP hizmetlerine yazmaya izin VERİLMEMELİDİR, ayrıcalıklı bir keystone kullanıcısının LDAP dizininde değişiklikler yapmasına izin vermelidir. Bu, daha geniş bir organizasyonda ayrıcalık yükselmesine izin verecek veya diğer bilgilere ve kaynaklara yetkisiz erişimi kolaylaştıracaktır. Böyle bir dağıtımda, kullanıcı yetkilendirme işlemi OpenStack dağıtımının dışında olur.
Harici kimlik doğrulama yöntemleri¶
Organizasyonlar, varolan kimlik doğrulama servislerine uyumluluk için harici kimlik doğrulama uygulamak veya daha güçlü bir kimlik doğrulama ilkesi zorunluluğu uygulamak isteyebilir. Şifreleme, kimlik doğrulamasının en yaygın biçimi olmasına rağmen, tuş günlüğü ve parola kaptırma da dahil olmak üzere çok sayıda yöntemle ele geçirilebilirler. Dış kimlik doğrulama servisleri, zayıf parolalardan kaynaklanan riski en aza indiren alternatif kimlik doğrulama biçimleri sağlayabilir.
Bunlardan bazıları:
- Parola politikası zorlama
Uzunluk, karakter çeşitliliği, son kullanma tarihi veya başarısız oturum açma girişimleri için kullanıcı parolalarının asgari standartlara uymasını gerektirir. Harici kimlik doğrulama senaryosunda, bu özgün kimlik deposundaki parola politikası olacaktır.
- Çok etmenli kimlik doğrulama
Kimlik doğrulama servisi, kullanıcının bir kerelik bir parola belirteci veya X.509 sertifikası gibi bir şey üzerine kurulu bilgileri ve bir parola gibi bildikleri bir şeyi sağlamasını gerektirir.
- Kerberos
İstemci ve sunucu arasındaki iletişimi sağlamak için ‘biletler’ kullanan karşılıklı kimlik doğrulama ağı protokolü. Kerberos bilet verme bileti, belirli bir hizmet için güvenli bir şekilde bilet sağlamada kullanılabilir.
