L'authentification est le processus de confirmation d'identité d'un utilisateur lui permettant d'accéder à une grille. AppLogic prend en charge l'authentification basée sur mot de passe dans l'IUG et sur clé publique lors des accès à l'interface de ligne de commande (CLI) via shell sécurisé (SSH).
L'authentification sur l'IUG des utilisateurs locaux est effectuée à l'aide du service d'annuaire local intégré pour l'authentification basée sur mot de passe.
L'authentification sur l'IUG des utilisateurs globaux est effectuée via le service d'annuaire global externe pour l'authentification basée sur mot de passe.
L'authentification SSH des utilisateurs locaux et globaux est effectuée via le shell SSH qui permet l'authentification par clé publique. Les clés SSH publiques des utilisateurs globaux sont conservées localement par chaque grille, car la plupart des annuaires globaux ne le permettent pas.
Lorsqu'un utilisateur global accède au CLI via SSH, le shell de ligne de commande interactif obtenu requiert une authentification immédiate de l'utilisateur auprès du service d'annuaire global. Ceci dans le but de préserver l'intégrité existante entre la grille et le service d'annuaire global.
L'exécution de ligne de commande distante non interactive via SSH est désactivée pour les utilisateurs globaux.
Lorsqu'un utilisateur se connecte via SSH afin d'ouvrir un shell de ligne de commande ou à l'IUG d'AppLogic, la connexion implique les opérations suivantes : authentification et autorisation. Même si l'authentification réussit, l'accès à la grille est refusé si l'utilisateur n'a pas l'autorisation de se connecter. Tous les niveaux d'accès définis dans la liste de contrôle d'accès de la grille permettent de se connecter. Si l'utilisateur dispose d'un droit d'accès inclus dans la liste de contrôle d'accès de la grille ou qu'il est membre d'un groupe disposant d'un de ces droits, la connexion sera autorisée.
Lorsqu'un utilisateur global est authentifié, l'appartenance au groupe global de cet utilisateur est définie à partir du service d'annuaire global. Ces informations sont mises en cache dans le service d'annuaire local. Ces informations d'appartenance au groupe globale mises en cache sont utilisées lors de l'autorisation des actions de l'utilisateur.
Disposer de plusieurs utilisateurs non autorisés à se connecter constitue un cas d'utilisation valide. Généralement, seul un sous-ensemble limité parmi tous les utilisateurs maintenus dans un service d'annuaire global est autorisé à se connecter à une grille. Un administrateur de grille peut refuser à un utilisateur de se connecter en désactivant son compte sans toutefois le supprimer.
|
Copyright © 2013 CA.
Tous droits réservés.
|
|