Page tree
Skip to end of metadata
Go to start of metadata

在此页:

目标用户:

CAST AI 管理员

摘要:本节描述如何为CAST AIC门户配置访问安全性

简介

CAST AIC门户有多种认证模式可供使用:

模式
描述
注意
默认认证

默认情况下此模式是激活的,并依赖于web应用中的application——security——default.xml配置文件定义的简单用户名/密码身份验证。

  • CAST建议在LDAP或标准LDAP中使用Active Directory,因为这避免了必须通过默认身份验证模式手动管理单个用户名和密码。
  • 一次只能激活一个模式


带有LDAP的活动目录

默认情况下此模式为非激活模式,允许用户使用其公司Active Directory登录进行身份验证。

标准LDAP

默认情况下此模式是不激活的,允许用户使用与Active Directory不兼容的标准LDAP服务器进行身份验证。

SAML

该模式默认为非激活的,允许用户通过SAML进行身份验证。

上述模式是通过web应用中的security.properties配置文件激活和配置:

%CATALINA_HOME%\webapps\CAST——AICP\WEB——INF\security.properties

身份验证模式激活

任何身份验证模式的激活都由下一节中的security.properties文件处理。

# =============================
# CAST AICP security parameters
# =============================

# Applicable security mode
# ————————————————————————————————————————————————
#  —— default    ——>    The initial mode when you deploy AICP
#  —— ldap       ——>    Set this mode for authentication over LDAP(S)
#  —— ad         ——>    Set this mode for authentication over LDAP(S) with basic Active Directory instances (simplified mode)
#  —— saml		——>    Set this mode for authentication over SAML2
security.mode=default

在“开箱即用”状态下,默认的安全模式是活动的,如上所示。一次只能激活一个模式。 

激活和非激活的操作

若要激活模式,请将以下行更改为所需的安全模式。例如将默认身份验证安全模式更改为LDAP Active Directory,请执行以下操作:

更改

security.mode=default

为:

security.mode=ad

在进行更改之后,保存security.properties文件,然后重新启动应用服务器,使更改生效。

配置每个模式

默认的身份验证模式

此模式默认为“开箱即用”,用户名和密码区分大小写:

用户名密码用户组
castcastADMINISTRATORS

请注意,“cast”用户是ADMINISTRATORS用户组的成员,该用户组可以访问所有配置选项,并且可以与任何域交互并交付任何应用。CAST建议保留管理员用户组中的至少一个用户。

如果想更改此现有用户的密码,或者想添加附加的“内存身份验证”用户,则需要用web应用中的application——security——default.xml配置文件进行修改。此文件包含以下部分,其中定义了可以在默认安全模式下访问CAST AIC门户的用户:

<user——service>
	<user name="cast" password="cast" authorities="ADMINISTRATORS"/>
</user——service>

如上面的代码所示,用户是使用“name”属性在<user>元素中定义的。该元素还定义:

  • 用户的密码
  • 用户被分配到的用户组

添加新用户

要添加新用户名,请添加一个附加的<user>标记,例如这将添加一个用户名“jhu”和密码“mypassword”,分配给用户组“DELIVERY_GROUP1”(有关组和角色的更多信息,请参见下面的用户组和角色一节):

<user——service>
	<user name="cast" password="cast" authorities="ADMINISTRATORS"/>
	<user name="jhu" password="mypassword" authorities="DELIVERY_GROUP1"/>
</user——service>

注意如果需要,可以将用户分配到多个组,例如将用户分配到“DELIVERY_GROUP1”、“DELIVERY_GROUP2”和“DELIVERY_GROUP3”,使用以下语法:

<user name="jhu" password="mypassword" authorities="DELIVERY_GROUP1,DELIVERY_GROUP2,DELIVERY_GROUP3"/>

在做出任何更改之后,保存pplication——security——default.xml文件,然后重新启动应用服务器使更改生效。

删除现有用户

要删除现有用户,只需从application——security——default.xml文件中删除相应的<user>标记。在做出更改之后,保存application——security——default.xml文件,然后重新启动应用服务器使更改生效。

编辑现有用户

要编辑现有用户,只需从application——security——default.xml文件中编辑相应的<user>标记。在做出更改之后,保存application——security——default.xml文件,然后重新启动应用服务器使更改生效。

禁用用户而不将其从application——security——default.xml文件中删除

要禁用用户,将disabled="true"作为属性添加到<user>标记:    

<user name="cast" password="cast" authorities="ADMINISTRATORS" disabled="true"/>

在做出更改之后,保存pplication——security——default.xml文件,然后重新启动应用服务器使更改生效。

使用LDAP的Active Directory 

此模式在默认情况下不启用“开箱即用”。允许用户使用公司Active Directory登录。CAST提供了占位符参数,因此必须更改这些参数身份验证才能正常工作。为此,请修改web应用中的security.properties配置文件。该文件包含以下注释部分,其中定义了Active Directory和处理Active Directory身份验证的内部LDAP服务器的URL


# Parameters for ad mode
# ————————————————————————————————————————————
security.ad.url=ldap://directory.example.com/
security.ad.domain=example.com
  • 需要更改这两个参数以匹配环境:
  • 在进行更改之后,保存security.properties文件,然后重新启动应用服务器使更改生效。

用户组

用户将自动分配与他们所属的Active Directory组的CN对应的角色(有关用户组和角色的更多信息,请参见下面的User groups and roles一节)。

角色分配支持嵌套组。例如如果用户jdoegroupA的成员,groupA是用于定义角色的groupB的成员,那么jdoe将被赋予groupB角色的属性。

标准 LDAP

此模式在默认情况下不启用“开箱即用”。可以与任何LDAP兼容的企业目录一起使用,包括Active directory(尽管在这种情况下,大多数情况下应该首选LDAP模式的Active directory)。允许用户使用企业LDAP登录登录CAST AIC门户。CAST提供了占位符参数,因此必须更改这些参数,身份验证才能正常工作。为此请修改web应用中的security.properties配置文件。该文件包含以下注释部分,其中定义了所需的参数:

# Parameters for ldap mode
# ————————————————————————————————————————————————
security.ldap.url=ldap://directory.example.com/
security.ldap.account.dn=cn=serviceaccount,dc=example,dc=com
security.ldap.account.password=password
security.ldap.account.key=
security.ldap.usersearch.base=dc=example,dc=com
security.ldap.usersearch.filter=(&(objectClass=inetOrgPerson)(uid={0}))
security.ldap.groupsearch.base=dc=example,dc=com
security.ldap.groupsearch.filter=(&(objectClass=groupOfNames)(member={0}))
  • 首先需要更改以下参数,以匹配连接到目录所需的URL和服务帐户:
security.ldap.url=ldap://directory.example.com/
security.ldap.account.dn=cn=serviceaccount,dc=example,dc=com
security.ldap.account.password=password
  • 然后需要更改与搜索目录中的用户相关的下列参数(搜索基数和搜索过滤器):
security.ldap.usersearch.base=dc=example,dc=com
security.ldap.usersearch.filter=(&(objectClass=inetOrgPerson)(uid={0}))
  • 对于Active Directory,使用security.ldap.usersearch.filter参数通常采用以下形式:   
security.ldap.usersearch.filter=(&(objectClass=user)(sAMAccountName={0}))
  • 在进行更改之后,保存security.properties文件,然后重新启动应用服务器使更改生效。
请注意,如果需要加密登录和密码参数,以避免以明文输入值,请参见: CAST AIC 门户 —— 加密LDAP的登录和密码.

用户组

用户将自动分配与所属的LDAP组的CN对应的角色(有关用户组和角色的更多信息,请参见下面的User groups and roles一节)。

角色分配支持嵌套组例如如果用户jdoe是groupA的成员,groupA是用于定义角色的groupB的成员,那么jdoe将被赋予groupB角色的属性。

  • 要启用LDAP组检索,请修改安全性。属性配置文件(这个文件是上面描述的)在web应用中——重点在以下部分:
# Parameters for ldap mode
# ————————————————————————————————————————————————
security.ldap.url=ldap://directory.example.com/
security.ldap.account.dn=cn=serviceaccount,dc=example,dc=com
security.ldap.account.password=password
security.ldap.account.key=
security.ldap.usersearch.base=dc=example,dc=com
security.ldap.usersearch.filter=(&(objectClass=inetOrgPerson)(uid={0}))
security.ldap.groupsearch.base=dc=example,dc=com
security.ldap.groupsearch.filter=(&(objectClass=groupOfNames)(member={0}))
  • 需要更改以下参数以匹配目录的结构(组搜索基、组搜索过滤器、组角色属性):
security.ldap.groupsearch.base=dc=example,dc=com
security.ldap.groupsearch.filter=(&(objectClass=groupOfNames)(member={0}))
  • 对于Active Directory,security.ldap.groupsearch.filter参数通常采用以下形式:
security.ldap.groupsearch.filter=(&(objectClass=group)(member={0}))
  • 在进行更改之后,保存security.properties文件,然后重新启动应用程序服务器使更改生效。

SAML 模式

请参见 使用SAML身份验证 获得更多信息

用户组和角色

CAST AIC门户提供了一种方法,通过使用角色来限制对某些功能的访问。目前有两种角色

角色描述
平台管理员

被授予完全访问AIC门户的所有功能:

  • 创建、读取、更新、删除任何域任何应用
  • 可以使用CAST 交付管理工具交付任何应用
  • 可以将组分配给域,将交付管理器角色分配给组的成员

开箱即用,CAST AIC门户有一个平台管理员——“CAST”用户,ADMINISTRATORS组的成员,默认情况下启用。

交付管理

授予访问权限如下:

  • 对特定域和应用的读访问
  • 可以使用CAST交付管理工具交付特定的应用

开箱即用,CAST AIC门户没有定义交付管理器。

配置平台管理员角色

平台管理员角色是使用以下XML文件配置的——在这个XML配置文件中定义的所有组(及其成员)都将被授予平台管理员角色:

%CATALINA_HOME%\webapps\CAST——AICP\WEB——INF\administrators.xml

默认情况下,“内存身份验证”cast用户是“ADMINISTRATORS”组的成员,“ADMINISTRATORS”组被授予平台管理员角色(CAST建议将此配置保留为默认值):

<?xml version="1.0" encoding="UTF——8"?>
<administrators xmlns:xsi="http://www.w3.org/2001/XMLSchema——instance"
                xsi:noNamespaceSchemaLocation="administrators.xsd">
    <!———— The default ADMINISTRATORS group is attributed to the default user cast.
    Please do not remove this value. ————>
    <group>ADMINISTRATORS</group>
</administrators>

每种身份验证模式中的行为

根据使用的身份验证模式,平台管理员角色的行为如下:

身份验证模式行为
默认的身份验证

为了获得平台管理员角色,用户必须是默认管理员组的成员,或者是添加到administrators.xml文件中的自定义组。正如上所述用户通过application——security——default.xml配置文件分配给组。

带有LDAP和标准LDAP的Active Directory

为了获得平台管理员角色,用户必须是Active Directory或LDAP组的成员,其CN(公共名称)匹配administrators.xml文件中默认的管理员组,或已添加到administrators.xml文件中的自定义组。

将平台管理员角色授予一个组

为另一个组分配平台管理员角色,插入一个新的<group>元素,如下图所示:

带有LDAP和标准LDAP的Active Directory 

在此模式下,只需添加要将平台管理员角色分配给的Active Directory组的公共名称(CN)。在本例中,添加了Active Directory组“company.development.castadmins”:

<?xml version="1.0" encoding="UTF——8"?>
<administrators xmlns:xsi="http://www.w3.org/2001/XMLSchema——instance"
                xsi:noNamespaceSchemaLocation="administrators.xsd">
    <!———— The default ADMINISTRATORS group is attributed to the default user cast.
    Please do not remove this value. ————>
    <group>ADMINISTRATORS</group>
    <group>company.development.castadmins</group>
</administrators>

在进行更改之后,保存security.properties文件,然后重新启动应用程序服务器使更改生效。

默认的身份验证

在此模式下,只需添加要将平台管理员角色分配给组的名称。在本例中,添加了“ITADMINS”组:

<?xml version="1.0" encoding="UTF——8"?>
<administrators xmlns:xsi="http://www.w3.org/2001/XMLSchema——instance"
                xsi:noNamespaceSchemaLocation="administrators.xsd">
    <!———— The default ADMINISTRATORS group is attributed to the default user cast.
    Please do not remove this value. ————>
    <group>ADMINISTRATORS</group>
    <group>ITADMIN</group>
</administrators>

在进行更改之后,保存security.properties文件,然后重新启动应用程序服务器使更改生效。

配置交付管理器角色

与平台管理员角色不同,交付管理器角色的配置是使用CAST AIC门户的GUI实现的。这方面的进一步详细讨论载于:

请注意,与交付管理角色(即被授予此角色的用户/组)相关的信息存储在HSQLDB (HyperSQL数据库)中。数据存储在以下位置:

%CATALINA_HOME%\webapps\CAST——AICP\database
  • No labels