أنواع مصادقة المستخدم
تتوفر عدة طرق لمصادقة المستخدم لتسجيل الدخول إلى واجهة الويب الخاصة بمحرك SKOOR Engine:
المصادقة المحلية
المصادقة مقابل LDAP أو الدليل النشط استناداً إلى اسم المستخدم وكلمة المرور
المصادقة مقابل LDAP أو الدليل النشط استناداً إلى عضوية المستخدم في مجموعة LDAP/الدليل النشط المحددة
تسجيل الدخول استناداً إلى رمز المصادقة الخارجي (OIDC)، مثل Keycloak أو Azure AD
المصادقة المحلية متاحة دائماً. ومع ذلك، لا تتوفر الأخرى إلا إذا تم إعداد التكوين المعني على النظام.
مستخدم مصادق محلياً
يتم تخزين بيانات الاعتماد لهذا النوع من المستخدمين في قاعدة بيانات SKOOR Engine المحلية. هذا هو النوع الافتراضي للمستخدم. يجب تعيين كلمة مرور أو عنوان بريد إلكتروني صالح عند إنشاء مستخدم مصادق محلياً.
لا يمكن تنفيذ عمليات المستخدم التالية إلا من قبل مستخدم مسؤول:
تغيير دور المستخدم
تغيير نوع المستخدم
حذف مستخدم
تغيير عضوية مجموعة المستخدم
يمكن ربط المستخدم الذي تمت مصادقته محلياً بمجموعات المستخدمين المقترنة بالمستخدمين المدارة بواسطة LDAP ولكن المستخدم لا يرث أي من إعدادات معلمات المجموعة.
مستخدم مصادق عن بعد
لمصادقة مستخدم مقابل AD/LDAP، حدد المعلمة مصادقة عن بُعد من القائمة المنسدلة نوع المستخدم. يجب أن يكون اسم المستخدم مطابقاً للاسم المستخدم في دليل AD/LDAP. على الرغم من أنه سيتم التحقق من بيانات اعتماد المستخدم مقابل LDAP، إلا أنه لا يزال يجب تعيين كلمة مرور أولية عند إعداد مستخدم جديد مصادق عن بُعد . ومع ذلك، يمكن اختيار أي كلمة مرور.
بمجرد إعداد المستخدم وإتاحة اتصال الشبكة بخادم AD/LDAP من SKOOR Engine، قم بتسجيل الدخول إلى واجهة الويب الخاصة بـ SKOOR Engine باستخدام بيانات اعتماد LDAP. إذا نجح تسجيل الدخول، يتم استبدال كلمة المرور التي تم تعيينها في البداية بكلمة مرور LDAP الصالحة. يتم تخزين كلمة المرور محلياً للسماح بتسجيل الدخول، في حالة فشل الاتصال بخادم LDAP.
تغيير كلمة مرور مستخدم مصادق LDAP غير مدعوم من داخل محرك SKOOR. يجب تغيير كلمة المرور في LDAP.
يمكن تغيير المستخدمين الحاليين الذين تمت مصادقتهم محلياً إلى مصادقة LDAP
يمكن تغيير المستخدمين الحاليين الذين تمت مصادقتهم في LDAP إلى مصادقة محلية. سيتم حفظ كلمة مرور LDAP الحالية واستخدامها للمصادقة المحلية
مستخدم مُدار من قبل LDAP
لا يتم إنشاء مستخدم مُدار LDAP يدوياً داخل محرك SKOOR. يتم إنشاؤه تلقائياً بمجرد تسجيل دخول المستخدم الذي ينتمي إلى مجموعة محددة في دليل LDAP.
عندما يتم إنشاء مجموعة مستخدمي SKOOR Engine (انظر القسم مجموعات المستخدمين)، يجب تكوين اسم مجموعة LDAP كمجموعة بعيدة في مربع الحوار إضافة مجموعة مستخدمين جديدة.
بمجرد إدخال اسم المجموعة البعيد ة، يمكن تكوين معلمات إضافية للمجموعة:
تعيين دور المستخدم المطلوب لمجموعة LDAP. كما يمكن اختيار صفحة البدء.
بمجرد أن يحاول المستخدم تسجيل الدخول، يتم إجراء مصادقة مقابل خادم LDAP الذي تم تكوينه. إذا نجح تسجيل الدخول وكان المستخدم عضواً في مجموعة LDAP المكوّنة يتم إنشاء المستخدم تلقائياً ككائن ضمن /الجذر /المستخدمين/المستخدمين:
في هذا المثال، تم إنشاء المستخدم testldap_b تلقائياً كمستخدم من نوع المستخدم المُدار عن بُعد. لا يمكن تحرير المستخدم. يتم توفير الاسم الكامل ورقم الهاتف وعنوان البريد الإلكتروني من قبل دليل LDAP إذا تم تكوين التعيينات ذات الصلة (راجع إعداد مصادقة LDAP ). تتم إضافة حساب المستخدم الذي تم إنشاؤه حديثاً تلقائياً إلى مجموعة مستخدمي SKOOR LDAP المقابلة.
إذا كان المستخدم عضوًا في مجموعات متعددة في دليل LDAP وتم تكوين هذه المجموعات أيضًا في محرك SKOOR، يتم ربط كائن المستخدم بكل هذه المجموعات. سيرث أعلى الامتيازات (مثل دور المستخدم المسؤول) للمجموعات المرتبطة.
لا يمكن ربط المستخدم المُدار بواسطة LDAP بمجموعات مستخدمين إضافية.
يمكن حذف المستخدم المُدار من قبل LDAP يدوياً (من قبل المستخدمين المسؤولين) أو يتم حذفه تلقائياً بعد عدد محدد مسبقاً من الأيام.
يتم تحديد عضوية مجموعة LDAP باستخدام السمة memberOf للمستخدم. يمكن تغيير السمة عن طريق تحرير إدخال ldap_item_group في ملف التكوين eranger-server.cfg.