Yetkilendirme¶
Kimlik servisi, grupların ve rollerin kavramını desteklemektedir. Kullanıcılar gruplara aitken, bir grup rollerin bir listesine sahiptir. OpenStack servisleri, servise erişmeye çalışan kullanıcının rollerini referans alır. OpenStack ilke uygulayıcı ara katmanı, her kaynağa ilişkin ilke kuralını, ardından kullanıcının grubunu / rollerini ve ilişkilendirmeyi, erişimin istenen kaynağa izin verilip verilmeyeceğini belirlemek için dikkate alır.
Politika uygulama orta katmanı, OpenStack kaynaklarına ince ayarlı erişim kontrolü sağlar. Politikanın davranışı şurada ele alınmaktadır İlkeler.
Resmi erişim kontrolü politikaları sağlama¶
Rolleri, grupları ve kullanıcıları yapılandırmadan önce, OpenStack kurulumu için gerekli erişim denetimi politikalarınızı belgeleyin. Politikalar, organizasyon için düzenleyici veya yasal gerekliliklerle tutarlı olmalıdır. Erişim kontrolü yapılandırmasında gelecekteki değişiklikler resmi politikalarla tutarlı bir şekilde yapılmalıdır. İlkeler, hesap oluşturma, silme, devre dışı bırakma ve etkinleştirme ve hesaplara ayrıcalık atama koşullarını ve süreçlerini içermelidir. Politikaları periyodik olarak gözden geçirin ve yapılandırmanın onaylanmış politikalara uygunluğundan emin olun.
Servis yetkilendirmesi¶
Bulut yöneticileri, OpenStack Yönetici Kılavuzu ‘de tanımlandığı gibi, her servis için yönetici rolü olan bir kullanıcı tanımlamalıdır. Bu servis hesabı, servisi kullanıcıları kimlik doğrulaması için yetkilendirerek sağlar.
Hesaplama ve Nesne Depolama hizmetleri Kimlik doğrulama bilgilerini depolamak için Kimlik hizmetini kullanacak şekilde yapılandırılabilir. Kimlik doğrulama bilgilerini depolamak için kullanılan diğer seçenekler arasında “tempAuth” dosyasının kullanımı yer alır; ancak bu, parola düz metin olarak gösterildiği için canlı ortamda yayına alınmamalıdır.
Kimlik servisi, etkinleştirilebilen TLS için istemci kimlik doğrulamasını desteklemektedir. TLS istemci kimlik doğrulaması, kullanıcı kimliği üzerinde daha fazla güvenilirlik sağlayan kullanıcı adı ve parola yanı sıra ek bir doğrulama faktörü sağlar. Kullanıcı adları ve parolalar tehlikeye atıldığında, yetkisiz erişim riskini azaltır. Bununla birlikte, her dağıtımda uygulanması mümkün olmayan sertifikalar için kullanıcılara sertifika vermek için ek yönetim yükü ve maliyet vardır.
Not
Kimlik hizmetlerine yönelik hizmetlerin kimlik doğrulamasında TLS ile istemci kimlik doğrulamasını kullanmanızı öneririz.
Bulut yöneticisi hassas yapılandırma dosyalarını yetkisiz değişikliklerden korumalıdır. Bu, /etc/keystone/keystone.conf ve X.509 sertifikaları da dahil olmak üzere SELinux gibi zorunlu erişim kontrol çatıları ile başarılabilir.
TLS ile istemci kimlik doğrulaması, servislere sertifika verilmesini gerektirir. Bu sertifikalar, harici veya dahili bir sertifika otoritesi tarafından imzalanabilir. OpenStack servisleri, sertifika imzalarının güvenilir CA’lara karşı geçerliliğini kontrol eder ve imza geçerli değilse veya CA güvenilir değilse bağlantılar başarısız olur. Bulut dağıtımcıları kendinden imzalı sertifikalar kullanabilir. Bu durumda, geçerlilik denetimi devre dışı bırakılmalıdır veya sertifika güvenilir olarak işaretlenmelidir. Kendi kendine imzalanan sertifikaların geçerliliğini kaldırmak için, /etc/nova/api.paste.ini dosyasındaki [filter:authtoken] bölümünde insecure=False değerini ayarlayın. Bu ayar, diğer bileşenlerin sertifikalarını da devre dışı bırakır.
Yönetici kullanıcılar¶
Yönetici kullanıcılarının Kimlik servisini ve bir sertifika gibi 2 faktörlü kimlik doğrulamayı destekleyen bir harici kimlik doğrulama servisi kullanarak kimlik doğrulamasını önermenizi öneririz. Bu, tehlikeye atılmış olabilecek parola riskini azaltır. Bu öneri, ayrıcalıklı hesaplara ağ erişimi için çok faktörlü kimlik doğrulamasının kullanılması konusunda NIST 800-53 IA-2 (1) kılavuzuna uygundur.
Son kullanıcılar¶
Kimlik servisi, son kullanıcının kimlik doğrulamasını doğrudan sağlayabilir veya organizasyonun güvenlik ilkelerine ve gereksinimlerine uymak için harici kimlik doğrulama yöntemleri kullanacak şekilde yapılandırılabilir.
