Phần 6: Policy cho user trong PrivacyIDEA
Phần 6: Policy cho user Phần 1 : Cài đặt PrivacyIDEA server Phần 2: Login ubuntu sử dụng OTP token key. Phần 3: Quản lý tập trung ssh-key bằng privacyIDEA. Phần 4: Basic Authen Apache sử dụng OTP token key. Phần 5: Sử dụng OTP PrivacyIDEA cho Freeradius. Phần 6: Policy cho user ...
Phần 6: Policy cho user
Phần 1 : Cài đặt PrivacyIDEA server
Phần 2: Login ubuntu sử dụng OTP token key.
Phần 3: Quản lý tập trung ssh-key bằng privacyIDEA.
Phần 4: Basic Authen Apache sử dụng OTP token key.
Phần 5: Sử dụng OTP PrivacyIDEA cho Freeradius.
Phần 6: Policy cho user
Phần 7: Quản lý user client trong PrivacyIDEA (sqlrealm/dbrealm/ldap/Activedirectory)
Phần 8: HA cho PrivacyIDEA
Phần 9: SSO update...
Nguồn : (https://privacyidea.readthedocs.io/en/latest/index.html)
Mô tả: Policy cho phép cấp quyền view/edit/only get key ….. cho từng user. Việc phân ra như thế sẽ dễ dàng định mức quyền hạn của từng người trong nhóm.
Việc thiết lập policy cho từng user các bạn nên tự tìm hiểu. Tại phần này tôi sẽ đưa ra giải pháp khắc phục phần 3: ClientA đã cài privacy-sshkey, khi client biết được useradmin/pass trong mục config, ClientA đó sẽ vào phá hoại WEB manager. (Có nhiều cách để chặn truy cập web, ngoài ra ta có thể dùng firewall, iptables, apache.....)
Kịch bản: Có 3 user admin/admin2/admin3. Ta set admin2 full quyền, còn admin/admin3 chỉ có quyền get key ssh mà thôi.
Tạo user thứ 2 #pi-manage admin add admin2 Tạo user thứ 3 #pi-manage admin add admin3
Vào mục Config / Chọn Pilicies / Chọn Create New Policy . Ta cấu hình như sau để admin2 có full quyền
Đối với admin và admin3. ta bỏ hết các lựa chọn và chỉ tick vào những phần sau:
Trường hợp bạn gán quyền policy sai. Bạn có thể chỉnh sửa/xóa trong Database pi.policy Sẽ giúp bạn lấy lại được quyền admin. Và nhớ phải restart lại apache2 thì policy mới được load lại từ Databases.
Phần 6: Policy cho user Mời bạn theo dõi tiếp bài sau của tôi. FRAMGIA : https://viblo.asia skype: tuanduong122
Do kiến thức của người viết có hạn. Nếu bài viết thấy có lỗi hoặc sai sót. Mong các bạn comment/contact giúp bài viết hoàn thiện hơn. Xin cảm ơn
Phần 7: Quản lý user client trong PrivacyIDEA (sqlrealm/dbrealm/ldap/Activedirectory)
Mời bạn theo dõi tiếp bài sau của tôi. FRAMGIA : https://viblo.asia skype: tuanduong122
Do kiến thức của người viết có hạn. Nếu bài viết thấy có lỗi hoặc sai sót. Mong các bạn comment/contact giúp bài viết hoàn thiện hơn. Xin cảm ơn