Tipi di autenticazione utente
Per accedere all'interfaccia web di SKOOR Engine sono disponibili diversi metodi di autenticazione dell'utente:
Autenticazione locale
Autenticazione con LDAP o Active Directory basata su nome utente e password.
Autenticazione con LDAP o Active Directory in base all'appartenenza dell'utente a uno specifico gruppo LDAP/Active Directory
Accesso basato su un token del provider di autenticazione esterno (OIDC), come Keycloak o Azure AD.
L'autenticazione locale è sempre disponibile. Tuttavia, le altre sono disponibili solo se la relativa configurazione è stata preparata sul sistema.
Utente autenticato localmente
Le credenziali di questo tipo di utente sono memorizzate nel database locale di SKOOR Engine. È il tipo di utente predefinito. Quando si crea un utente autenticato localmente, è necessario impostare una password o un indirizzo e-mail valido.
Le seguenti operazioni possono essere eseguite solo da un utente amministratore:
Cambiare il ruolo dell'utente
Cambiare il tipo di utente
Eliminazione dell'utente
Modifica dell'appartenenza al gruppo dell'utente
Un utente autenticato localmente può essere collegato a gruppi di utenti associati a utenti gestiti da LDAP, ma non eredita le impostazioni dei parametri del gruppo.
Utente autenticato in remoto
Per autenticare un utente rispetto ad AD/LDAP, selezionare il parametro Autenticato remoto dall'elenco a discesa Tipo di utente. Il nome dell'utente deve essere identico a quello usato nella directory AD/LDAP. Anche se le credenziali dell'utente saranno verificate rispetto a LDAP, quando si imposta un nuovo utente autenticato a distanza è necessario impostare una password iniziale. Tuttavia, è possibile scegliere qualsiasi password.
Una volta che l'utente è stato configurato e che è disponibile una connessione di rete al server AD/LDAP da SKOOR Engine, è possibile accedere all'interfaccia web di SKOOR Engine utilizzando le credenziali LDAP. Se il login riesce, la password inizialmente impostata viene sovrascritta con la password LDAP valida. La password viene memorizzata nella cache locale per consentire l'accesso in caso di mancata connessione al server LDAP.
La modifica della password di un utente autenticato LDAP non è supportata da SKOOR Engine. La password deve essere modificata in LDAP.
Gli utenti esistenti autenticati localmente possono essere modificati in autenticati LDAP.
Gli utenti esistenti autenticati in LDAP possono essere cambiati in utenti autenticati localmente. La password LDAP corrente verrà salvata e utilizzata per l'autenticazione locale.
Utente gestito LDAP
Un utente gestito LDAP non viene creato manualmente all'interno di SKOOR Engine. Viene creato automaticamente quando si accede a un utente che appartiene a un gruppo specifico della directory LDAP.
Quando si crea un gruppo di utenti di SKOOR Engine (vedere la sezione Gruppi di utenti), il nome del gruppo LDAP deve essere configurato come gruppo remoto nella finestra di dialogo Aggiungi nuovo gruppo di utenti.
Una volta inserito il nome di un gruppo remoto, è possibile configurare altri parametri per il gruppo:
Impostare il ruolo utente richiesto per il gruppo LDAP. Inoltre, è possibile scegliere una pagina iniziale.
Una volta che l'utente tenta di accedere, viene eseguita un'autenticazione con il server LDAP configurato. Se il login riesce e l'utente è un membro del gruppo LDAP configurato, l'utente viene creato automaticamente come oggetto in /root /Users /Users:
In questo esempio, l'utente testldap_b è stato creato automaticamente come tipo di utente Gestito a distanza. L'utente non può essere modificato. Il nome completo, il numero di telefono e l'indirizzo e-mail sono forniti dalla directory LDAP se sono configurati i rispettivi mapping (vedere Impostazione dell'autenticazione LDAP ). L'account utente appena creato viene automaticamente aggiunto al gruppo di utenti SKOOR LDAP corrispondente.
Se un utente è membro di più gruppi nella directory LDAP e questi gruppi sono configurati anche in SKOOR Engine, l'oggetto utente viene collegato a tutti questi gruppi. L'utente erediterà i privilegi più elevati (ad esempio, il ruolo di utente Amministratore) dei gruppi collegati.
Un utente gestito da LDAP non può essere collegato ad altri gruppi di utenti.
Un utente gestito da LDAP può essere eliminato manualmente (dagli utenti amministratori) o viene eliminato automaticamente dopo un numero predefinito di giorni.
L'appartenenza al gruppo LDAP viene determinata utilizzando l'attributo memberOf dell'utente. L'attributo può essere modificato modificando la voce ldap_item_group nel file di configurazione eranger-server.cfg.