Создание правил доступа LDAP ACL

Описание создания элемента правил доступа LDAP.

Создание элемента правил доступа (или списка управления доступом, ACL, англ. Access Control List) на основе членства в группах LDAP необходимо для настройки ограничения доступа пользователей к ресурсам на HTTP-портале по логину и паролю или полям сертификата, заданных в LDAP.

HTTP-портал должен быть настроен на тип аутентификации с применением LDAP, то есть в поле User authentication type должен быть выбран один из вариантов: Username/password (LDAP), Certificate (in LDAP), Certificate (UPN in LDAP), Certificate (OIDs) + username/password (LDAP).

Важное замечание: Перед созданием данного правила доступа (ACL) необходимо выполнить привязку LDAP-сервера к конфигурации. А в случае Certificate (OIDs) + username/password (LDAP) ещё и привязку RADIUS-cервера к конфигурации.
  1. Откройте список конфигураций и выберите нужную из этого списка: Clusters > <Имя кластера> > All configuration > <Имя конфигурации>.


  2. Нажмите ACLs в боковом меню конфигурации, чтобы перейти на страницу ACLs. Нажмите Create LDAP ACL для создания нового списка управления доступом (ACL) на основе LDAP.


  3. В разделе General введите наименование (Name) и описание (Description) элемента списка управления доступом LDAP ACL в системе NGate.


  4. В разделе LDAP server в выпадающем меню выберите элемент LDAP сервера (должен быть задан заранее), который будет применён для данного элемента правил доступа LDAP.


    Совет: Подробнее о добавлении элемента LDAP сервера: Добавление RADIUS-сервера в NGate.
  5. В разделе Access groups настройте группы доступа для пользователей, которым будет разрешён доступ к ресурсам на портале. Установите переключатель OR / AND для выбора типа логического комбинирования, применяемого для выбранных групп LDAP доступа в данном ACL.
    • Combined AND (И) – пользователь получит доступ к ресурсам при вхождении во все выбранные группы списка (в поле Selected).
    • Combined OR (ИЛИ) – пользователь получит доступ к ресурсам при вхождении хотя бы в одну выбранную группу списка (в поле Selected).


  6. Произведите перенос групп пользователей из общего списка групп LDAP в поле Available в список выбранных групп доступа в поле Selected. Пользователям групп в поле Selected будет открыт доступ к ресурсам с учётом выбранного типа логического комбинирования.
    1. Для поиска нужных групп можно использовать поиск: в поле Search введите ключевое слово для поиска нужной группы и нажмите .


    2. Нажмите на нужную группу в списке доступных Available, чтобы перенести группу в список выбранных Selected.


    3. Удаление группы пользователей из списка выбранных Selected осуществляется нажатием на нужной в списке.


      Примечание: Чтобы ACL работал корректно необходима минимум одна группа в списке Групп доступа Available.
  7. В разделе Prohibit groups настройте запрещённые группы пользователей, которым будет закрыт доступ к ресурсам на портале.
    Настройка происходит аналогично группам доступа Access groups: шаги 5, 6.
  8. Нажмите кнопку Save для сохранения созданного правила доступа ACL.
  9. Настроенный элемент правил доступа на основе членства в группах LDAP может быть применён при настройке правил доступа к ресурсам на портале.
    Подробнее см. шаг 9 на странице Создание правил доступа к веб-ресурсам и gRPC-ресурсам на HTTP-портале.