Создание правил доступа (ACL) на основе полей пользовательских сертификатов

Правило доступа на основе полей пользовательских сертификатов (Client Certificate Field ACL) применяется для обеспечения гибкого разграничения доступа к защищаемым ресурсам на портале для различных пользователей с доверенным сертификатом (Trusted CA). Можно использовать политики ограничения доступа к определённым ресурсам для различных групп пользователей в зависимости от значения полей Field name or OID.

Прим.: Для применения данного типа ACL в настройках портала в поле User authentication type должен быть выбран один из типов аутентификации: Certificate (OIDs) или Certificate (OIDs) + username/password (LDAP).
  1. Откройте страницу настраиваемой конфигурации: Clusters > <Имя кластера> > All configuration > <Имя конфигурации>.


  2. Откройте в конфигурации вкладку ACLs.


  3. Нажмите Certificate ACL для создания нового ACL.


  4. Введите в поле Name наименование данного ACL в системе NGate .
    Name cert-acl-01
  5. В поле OID access rules (правила доступа) выберите из выпадающего меню имя или идентификатор поля сертификата Field name or OID, затем введите в поле Field value требуемое значение для выбранного имени поля сертификата.


  6. Новое поле сертификата в рамках группы можно добавить при помощи кнопки .


  7. С помощью выключателя Group access state можно управлять состоянием группы: активна/ не активна


  8. Новая группа может быть создана при помощи кнопки Add new group(AND).
  9. Чтобы настроить ACL с регулярные выражения в продвинутых настройках Advanced setting необходимо включить параметр: Enable regular expressions установив . Затем необходимо задать OID access rules (правила доступа) с соответствующей настройкой регулярных выражений.
    Примеры:
    • Subject.CN: Иванов .* — выбирает все имена, начинающиеся с "Иванов";
    • Subject.INN: 77[0-9]* — выбирает все ИНН, начинающийся с 77.


  10. Нажмите кнопку Save для сохранения созданной ACL и перехода на страницу списка ACL для конфигурации. Back – выход без сохранения.


Теперь созданный Certificate ACL доступен в списке ACL системы и может быть использован для создания правил доступа к веб-ресурсам и gRPC-ресурсам на HTTP-портале.