- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
当使用 LDAP 存储实现 RBAC 模型时(我使用 Apache Directory 1.0.2 作为测试平台),一些参与者显然可以映射到特定的对象类:
过去,我见过一些模型,其中资源不以任何方式在目录中处理,并且权限和角色被映射到 Active Directory 组。
有没有更好的方式来代表这些 Actor ?讨论架构的良好映射和意图的文档怎么样?
最佳答案
RBAC 不是 RBAC 不是 RBAC,RBAC 在纸面上很困难,但在现实生活中几乎不可能实现。
每个人都有自己的 RBAC“想法”,并且大多数人对与 RBAC 相关的每个事物都使用不同的术语。一般来说,从 LDAP 实现的角度来看,您很少拥有在 LDAP 中进行正确实现的所有“部件”。
简单来说,“零件”是:
S = 主题 = 个人或自动代理或用户
P = 权限 = 批准访问目标资源的模式
T = 目标资源 = 您要为其分配权限的对象
角色至少需要关联权限和用户。目标资源可以完全位于 LDAP 之外。因此它可能是 Tomcat 服务器上的应用程序,也可能只是读取 LDAP 服务器中“其他”条目的权限。
因此,通常您在 LDAP 中最好的做法是设置一个包含用户列表的对象,如果 LDAP 中存在某些资源,请为这些目标资源分配适当的目录权限。
然后是实现上的小问题。
我们现在需要一项政策来履行我们的职责。因此,如果没有关于如何使用它的策略,我们的角色(我们将其称为 USER-READ-ONLY)就没有用。
在我们的例子中,我们可以说 USER-READ-ONLY 角色可以读取我们组织中的任何内容。
所以我们现在有一个政策。该策略存储在哪里?保单的数字表示形式存储在“保单信息点”或 PIP 中。
我们如何解释 PIP 提供的政策?政策由政策决策点 (PDP) 解释。
谁决定主体(用户)是否可以访问资源?政策执行点 (PEP)。
将所有这些策略内容放在一起,我们最终得到策略的数字表示,由策略信息点提供给策略决策点,然后策略决策点将决策传递给策略执行点,在策略执行点允许或拒绝访问。
那么在我们的 RBAC 故事中,PIP、PDP 和 PEP 在哪里?好吧,如果目标资源位于 LDAP 目录中,那么 LDAP 目录就是 PIP(我们可能对其进行了硬编码并且未进行抽象,PIP 同样如此,PEP 也是如此,这很容易。
但是如果是我们的 Tomcat 应用程序,它必须是 Tomcat 应用程序中的一个可以中断的方法,知道必须使用一个方法来表示“我有这个主题(用户)并且他想要访问这个目标资源( list )”执行此权限(只读)”。
当然,所有这些东西都有一些标准。 (Google XAML、RFC3198、ISO10181-3、NIST),但它们是与实际实现存在很大差距的标准。
因此请记住,真正实现 RBAC 是很困难的。
当然,恕我直言,我们应该了解 RBAC,研究论文并将其作为战略方向,但在广泛的供应商和应用程序基础上的现实生活中的实现,我们还没有实现。
-吉姆
关于ldap - 代表 LDAP 中的 RBAC 参与者,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/923594/
我正在使用基于角色的访问控制(RBAC)开发通用用户管理系统,因为我无法区分操作表和权限表(这是在阅读了这么多文章之后)。 "一个主体可以有多个角色。一个角色可以有多个主体。一个角色可以有多个权限。一
我试图了解基于 RBAC 模型的访问控制。我引用了以下链接。 NIST RBAC Data Model 我没有像摘录中提到的那样清楚地理解这部分 - *“每个 session 是一个用户到可能多个角色
Yii2 有 PhpAuthManager 来设置、存储和检查 rbac 项目。它被缓存,在我更改权限后,我可以完全刷新缓存以应用新权限。但我只想用 rbac 项目刷新缓存的一部分,而不是全部。有没有
Openshift/okd 版本:3.11 我正在使用 openshift 目录中的 jenkins-ephemeral 应用程序并使用 buildconfig 创建管道。引用:https://doc
I am getting the below error where i creating the kubernetes cluster on AWS below are the files a
偷偷把RBAC基于角色的访问控制秘籍发出来,不需要自宫~ RBAC-基于角色的访问控制 什么是RBAC 概念 RBAC 是基于角色的访问控制(Role-Based Access Control )在
尝试编写我的第一套 RBAC 角色。因此,试图找出为多个命名空间组件分配 2 个角色的最佳方法。 管理员角色(3 个命名空间的 RW 表示默认,ns1 和 ns2)用户角色(只读 3 个命名空间,默认
我正在使用最新版本的 Kubernetes 在 CentOS 7 上运行一个两节点集群。设置后好像什么都做不了 这是我想从主服务器创建部署时遇到的错误: Error from server (Forb
我在 Jenkinsx 设置中使用 OKD,jenkinsx 根据开发人员创建的拉取请求动态创建一个项目,并在该项目中部署服务。 但是这些项目中的服务因“ImagePullBackOff”错误而失败,
有一个用例我正在寻找解决方案。假设我在订阅级别将 RBAC - 所有者角色分配给用户(xxx)。但现在我需要将此权限排除在此订阅下的资源组之一。这可行吗? 最佳答案 没有。 Azure RBAC 权限
我和我的团队正在处理属于不同团队的数百个订阅。他们中的许多人在安全性、要使用的服务等方面有不同的需求,而我们作为一个中央平台,也确保每个人都使用相同的基线(安全性、监控、自动化等)。 我们当然需要处理
有没有办法查询 Azure(通过 REST 或 CLI)以查看某些操作需要/授予哪些权限? 例如,如果我想分配具有 Microsoft.Compute/virtualMachines/write 权限
我正在尝试了解 Azure RBAC 中这两个角色之间的重叠。看起来除了“Microsoft.Resources/deployments/*”之外,monitor-contributor 完全覆盖了
我目前正在尝试制定角色和权利概念。 Azure RBAC 已经有一些内置角色,但我正在尝试创建更多自定义角色。自定义角色是否直接链接到 RBAC?有人对我应该添加哪些角色有任何建议吗?我目前并不熟悉
我需要为 Azure WebApp 及其部署槽上的不同用户(或组)提供不同级别的访问权限。 如果我仅向用户授予对部署槽的访问权限,他将无法在 Azure 管理门户上看到它。 如果我向用户授予对整个网络
我遵循官方Helm documentation的“在 namespace 中部署Tiller,仅限于仅在该 namespace 中部署资源”。这是我的bash脚本: Namespace="$1" ku
我正在尝试了解 Azure RBAC 中这两个角色之间的重叠。看起来除了“Microsoft.Resources/deployments/*”之外,monitor-contributor 完全覆盖了
我目前正在尝试制定角色和权利概念。 Azure RBAC 已经有一些内置角色,但我正在尝试创建更多自定义角色。自定义角色是否直接链接到 RBAC?有人对我应该添加哪些角色有任何建议吗?我目前并不熟悉
我需要为 Azure WebApp 及其部署槽上的不同用户(或组)提供不同级别的访问权限。 如果我仅向用户授予对部署槽的访问权限,他将无法在 Azure 管理门户上看到它。 如果我向用户授予对整个网络
我正在使用 Kubernetes v1.8.14 定制版 CoreOS簇: $ kubectl version --short Client Version: v1.10.5 Server Versi
我是一名优秀的程序员,十分优秀!