Создание правил доступа (ACL) на основе полей пользовательских сертификатов

Описание создания элемента правил доступа на основе полей сертификатов.

Правило доступа на основе полей пользовательских сертификатов (англ. Client Certificate Field Access Control List) применяется для обеспечения гибкого разграничения доступа к защищаемым ресурсам на портале для различных пользователей с доверенным сертификатом (Trusted CA). Политика доступа к определённым ресурсам будет определяться значениями полей Field name or OID сертификатов пользователей.

Примечание: Для применения данного типа ACL в настройках портала в поле User authentication type должен быть выбран один из типов аутентификации: Certificate (OIDs) или Certificate (OIDs) + username/password (LDAP).
  1. Откройте список конфигураций и выберите нужную из этого списка: Clusters > <Имя кластера> > All configuration > <Имя конфигурации>.


  2. Нажмите ACLs в боковом меню конфигурации, чтобы перейти на страницу ACLs. Нажмите Create Certificate ACL для создания нового списка управления доступом (ACL) на основе сертификатов.


  3. В разделе General введите наименование (Name) и описание (Description) элемента списка управления доступом Certificate ACL в системе NGate.


  4. В разделе Enable regular expressions переведите переключатель в положение Yes, чтобы разрешить применение регулярных выражений при настройке элемента Certificate ACL. Теперь регулярные выражения активны и могут быть использованы при настройке OID Rules Groups (правила доступа/отказа в доступе).
    Примеры настройки с применением регулярных выражений:
    • Subject.CN: Иванов .* — выбирает все имена, начинающиеся с «Иванов»;
    • Subject.INN: 77[0-9]* — выбирает все ИНН, начинающийся с 77.


  5. В разделе OID Rules Groups - Access (идентификатор правил доступа групп) установите переключатель OR / AND для выбора типа логического комбинирования, применяемого для выбранных групп доступа в данном ACL.
    • Combined AND (И) – пользователь получит доступ к ресурсам при вхождении во все выбранные группы списка.
    • Combined OR (ИЛИ) – пользователь получит доступ к ресурсам при вхождении хотя бы в одну выбранную группу списка.


  6. Добавьте новые правила доступа в разделе OID Rules Groups - Access.
    1. Нажмите Add Group для создания новой группы.


    2. В выпадающем меню выберите значение ключа Key.


    3. Введите значение Value и нажмите , чтобы добавить новый элемент правил доступа. Можно использовать регулярные выражения, если включили их ранее.


    4. Нажмите Submit для сохранения правил доступа.


  7. Аналогично шагу 6 добавьте правила запрета доступа в разделе OID Rules Groups - Prohibit.
  8. Список добавленных групп правил разрешения или запрета доступа по объектным идентификаторам (OID) сертификатов пользователей будет отображён в соответствующих разделах.


    • — редактировать список правил.
    • — переместить правило между разделами Access и Prohibit.
    • — удалить правило.
  9. Нажмите кнопку Save для сохранения созданного правила доступа ACL.
  10. Настроенный элемент правил доступа на основе полей пользовательских сертификатов ACL Certificate может быть применён при настройке правил доступа к ресурсам на портале.
    Подробнее см. шаг 9 на странице Создание правил доступа к веб-ресурсам и gRPC-ресурсам на HTTP-портале.
Теперь созданный Certificate ACL доступен в списке ACL системы и может быть использован для создания правил доступа к веб-ресурсам и gRPC-ресурсам на HTTP-портале.