Phần 6: Policy cho user trong PrivacyIDEA

Phần 6: Policy cho user

Phần 1 : Cài đặt PrivacyIDEA server

Phần 2: Login ubuntu sử dụng OTP token key.

Phần 3: Quản lý tập trung ssh-key bằng privacyIDEA.

Phần 4: Basic Authen Apache sử dụng OTP token key.

Phần 5: Sử dụng OTP PrivacyIDEA cho Freeradius.

Phần 6: Policy cho user

Phần 7: Quản lý user client trong PrivacyIDEA (sqlrealm/dbrealm/ldap/Activedirectory)

Phần 8: HA cho PrivacyIDEA

Phần 9: SSO update...

Nguồn : (https://privacyidea.readthedocs.io/en/latest/index.html)

Mô tả: Policy cho phép cấp quyền view/edit/only get key ….. cho từng user. Việc phân ra như thế sẽ dễ dàng định mức quyền hạn của từng người trong nhóm.

Việc thiết lập policy cho từng user các bạn nên tự tìm hiểu. Tại phần này tôi sẽ đưa ra giải pháp khắc phục phần 3: ClientA đã cài privacy-sshkey, khi client biết được useradmin/pass trong mục config, ClientA đó sẽ vào phá hoại WEB manager. (Có nhiều cách để chặn truy cập web, ngoài ra ta có thể dùng firewall, iptables, apache.....)

Kịch bản: Có 3 user admin/admin2/admin3. Ta set admin2 full quyền, còn admin/admin3 chỉ có quyền get key ssh mà thôi.

Tạo user thứ 2
#pi-manage admin add admin2
Tạo user thứ 3
#pi-manage admin add admin3

Vào mục Config / Chọn Pilicies / Chọn Create New Policy . Ta cấu hình như sau để admin2 có full quyền

Đối với admin và admin3. ta bỏ hết các lựa chọn và chỉ tick vào những phần sau:

Trường hợp bạn gán quyền policy sai. Bạn có thể chỉnh sửa/xóa trong Database pi.policy Sẽ giúp bạn lấy lại được quyền admin. Và nhớ phải restart lại apache2 thì policy mới được load lại từ Databases.

Phần 6: Policy cho user Mời bạn theo dõi tiếp bài sau của tôi. FRAMGIA : https://viblo.asia skype: tuanduong122

Do kiến thức của người viết có hạn. Nếu bài viết thấy có lỗi hoặc sai sót. Mong các bạn comment/contact giúp bài viết hoàn thiện hơn. Xin cảm ơn

Phần 7: Quản lý user client trong PrivacyIDEA (sqlrealm/dbrealm/ldap/Activedirectory)

Mời bạn theo dõi tiếp bài sau của tôi. FRAMGIA : https://viblo.asia skype: tuanduong122

Do kiến thức của người viết có hạn. Nếu bài viết thấy có lỗi hoặc sai sót. Mong các bạn comment/contact giúp bài viết hoàn thiện hơn. Xin cảm ơn