84 lines
5.4 KiB
HTML
84 lines
5.4 KiB
HTML
%HRTABLE%<br>
|
|
<br>
|
|
<font size=+1><b> ¿ Qué es la LDAP-CACHE ? </b></font><br>
|
|
%HRTABLE%<br>
|
|
Es un mecanismo alternativo para proporcionar <exec &hlink($text{appscredent},'appscredent')> a las peticiones del usuario de <b>Tarantella</b>
|
|
<p>
|
|
<a name="whyldapcache" >
|
|
<font size=+1><b> ¿ Por qué LDAP-CACHE ? </b></font><br>
|
|
%HRTABLE%<br>
|
|
La explotación del Servicio <exec &hlink($text{stup_passwdcache},'stup_passwdcache')> ofrece
|
|
serias limitaciones, aunque puede ser gestionada por <b>STTA</b>, en un contexto donde se requiere sobre la <exec &hlink($text{appscredent},'appscredent')>:
|
|
<ul>
|
|
<li> Establecer <u>diferentes de valores según contexto</u>: por usuario, por host, por grupo, por aplicción, etc. Trabajar sobre la idea de <b>perfil de acceso</b> más que sobre <i>credenciales de hosts</i>.
|
|
</li>
|
|
<li> Establecer una <u>jerarquía entre los mismos configurable según entorno</u>, de modo que se evalue cada valor en un orden configurable.
|
|
</li>
|
|
<li> <exec &hlink($text{tclextend},'tclextend')> según cada credencial.
|
|
</li>
|
|
<li> Ofrecer mecanismos ampliados en el acceso a las aplicaciones como: <exec &hlink($text{sec_sesstickets},'sec_sesstickets')>, <exec &hlink($text{cfgmonitor},'cfgmonitor')> según cada credencial.
|
|
</li>
|
|
<li> Disponer de un mecanismo de <u>gestión fácil e intergrado, almacenado en repositorios abiertos, alternativos</u>, que puede ser ubicado de modo independiente a los <i>Servidores de Acceso</i>, con acondicionamientos de seguridad propios.
|
|
</li>
|
|
<li> Disponer de medios de <u>depuración y seguimiento en el suministro de las credenciales</u> solicitadas.
|
|
</li>
|
|
</ul>
|
|
<p>
|
|
<a name="howldapcache" >
|
|
<font size=+1><b> ¿ Cómo funciona LDAP-CACHE ? </b></font><br>
|
|
%HRTABLE%<br>
|
|
El <exec &hlink($text{cacheobj},'cacheobj')> define los atributos de cada <b>perfil de acceso</b>, que es almacenado en el <exec &hlink($text{f_ldapcacheserver},'fldapcacheserver')>.<br>
|
|
<br>
|
|
<b>STTA</b> gestiona los <b>perfil de acceso</b>:
|
|
<ul>
|
|
<li> asociando a los <exec &hlink($text{sec_elementsandobjects},'sec_objects')> un <exec $text{default_obj}></li>
|
|
<li>según los contextos y necesidades del Servico permite gestionar objetos a medida: <exec &hlink('Navegar','cache_selobj')>, <exec &hlink($text{index_addldapcache},'addldapcache')>,
|
|
<exec &hlink($text{index_modldapcache},'modldapcache')>,
|
|
<exec &hlink($text{index_delldapcache},'delldapcache')>. </li>
|
|
</ul>
|
|
La modificación de los <b><i>TCLs de Tarantella</i></b> permite la conexión con el <exec &hlink($text{f_ldapcacheserver},'fldapcacheserver')> usando la utilidad <b><exec &hlink('scancache','scancache')></b> que:
|
|
<ul>
|
|
<li> <u>Carga la configuración de STTA y entorno de Tarantella</u>.
|
|
</li>
|
|
<li> <u>Extrae las credenciales</u> según el <i>objeto Tarantella solicitado</i> y la <exec &hlink($text{accesscredent},'accesscredent')>.
|
|
</li>
|
|
<li> <u>Evalua las reglas establecidas según su prioridad</u> para proporcionar la <exec &hlink($text{appscredent},'appscredent')>.
|
|
</li>
|
|
<li> Si no se encuentra credencial alguna se <u>cargan valores por defecto o los del Acceso al servicio</u>, según se configure <b>STTA</b>.
|
|
</li>
|
|
<li> Si así se ha configurado, <u>según cada credencial y el contexto, aplica los controles</u> de: <exec &hlink($text{sec_sesstickets},'sec_sesstickets')>, <exec &hlink($text{cfgmonitor},'cfgmonitor')>.
|
|
</li>
|
|
<li> <u>Escribe los logs y trazas</u> según se haya configurado el Servicio.
|
|
</li>
|
|
<li> <u>Envia a Tarantella la credendial</u> junto con la <exec &hlink($text{tclextend},'tclextend')>.
|
|
</li>
|
|
<li> <u>Devuelve el control a Tarantella</u> con el resultado de:
|
|
<ul> <li> Acceso correcto y carga de la aplicación </li>
|
|
<li> Credenciales no válidas y acceso no permitido </li>
|
|
<li> <exec $text{msg_nosess}> y acceso no permitido </li>
|
|
<li> <exec $text{msg_noticket}> y acceso no permitido </li>
|
|
<li> Se dispara tarea o proceso segun contexto, con acceso correcto o no permitido </li>
|
|
</ul>
|
|
</li>
|
|
</ul>
|
|
<br>
|
|
<a name="cfgldapcache" >
|
|
<font size=+1><b> Configuración de LDAP-CACHE - evaluación de credenciales </b></font><br>
|
|
%HRTABLE%<br>
|
|
<ul>
|
|
<li> $infoCfg{cache_rulelimit} - Establece el número máximo de reglas a utilizar,el máximo son siete.
|
|
</li>
|
|
<li> Cada <i>Regla de Cache</i> va asociada a un tipo de los <exec &hlink($text{sec_elementsandobjects},'sec_objects')>.
|
|
</li>
|
|
<li> Excepto la reglas de <i> Usuarios y Organizaciones o grupos</i>, que sólo son evaluadas una vez (paso 3), el resto se evaluan tres veces:
|
|
<ul>
|
|
<li> Paso 1: Se busca un <exec &hlink($text{cacheobj},'cacheobj')> asociado al <exec &hlink($text{f_username},'fusername')>.</li>
|
|
<li> Paso 2: Si no existe credencial se busca un <exec &hlink($text{cacheobj},'cacheobj')> asociado al <exec &hlink($text{f_userou},'fuserou')> Usuario.</li>
|
|
<li> Paso 3: Si no existe credencial se busca un <exec $text{default_obj}> asociado al <exec &hlink('Objeto','sec_objects')> que se ha solicitado. Este paso es el único usado de la secuencia de los 3 si el tipo es <i>Usuario u Organización</i></li>
|
|
<li> <u>Los pasos 1,2 y 3</u> se repiten por cada <b>Regla de Cache</b> configurada hasta encontrar alguna credencial o alcanzar el máximo de $infoCfg{cache_rulelimit}.</li>
|
|
<li> Si no existe credencial y se <i>admiten</i> valores por defecto, se usan las credenciales por defecto del Servicio</li>
|
|
<li> Si no existe credencial aún y así <i>se configura</i>, se usan las del Acceso al Servicio </li>
|
|
</ul>
|
|
</li>
|
|
</ul>
|