Настройка аутентификации пользователей
Аутентификация пользователей для входа в веб-интерфейс выполняется с использованием LDAP и TACACS+. Параметры задаются в конфигурационном файле /opt/sp-spider/.env.
Настройка параметров LDAP
LDAP используется как источник учётных записей и групп пользователей.
# LDAP SECTION
LDAP_ENABLED=true # Включает интеграцию с LDAP
LDAP_URL="ldap://ldap.example.local:389" # Адрес LDAP-сервера
LDAP_DN="dc=ldap,dc=sp" # Базовый DN каталога
LDAP_GROUP_CN="users" # Имя группы
LDAP_SERVICE_ACCOUNT_DN="uid=user1,ou=people,dc=ldap,dc=sp" # DN сервисной учётной записи для подключения к LDAP
LDAP_SERVICE_ACCOUNT_PASSWORD="password" # Пароль сервисной учётной записи
# Указывается только при использовании LDAPS
LDAP_CERT="" # Путь к CA-сертификату при использовании LDAPS
Примечание
Сервисная учётная запись LDAP должна иметь права только на чтение пользователей и их групп.
Для подключения по LDAPS используйте протокол ldaps и соответствующий порт:
LDAP_URL="ldaps://ldap.example.local:636" # Адрес LDAP-сервера
Примечание
При использовании LDAPS в адресе сервера необходимо указывать hostname. Подключение по IP-адресу не поддерживается.
Путь к CA-сертификату сервера LDAP задаётся в параметре LDAP_CERT. Формат сертификата — .crt.
Настройка параметров TACACS+
TACACS+ используется для аутентификации пользователей через внешний сервер.
# TACACS SECTION
TAC_ENABLED=true # Включает интеграцию с TACACS+
TAC_HOST="tacacs.example.local" # Адрес TACACS+ сервера
TAC_PORT="49" # Порт TACACS+ (обычно 49)
TAC_SECRET="my_secret_key" # Общий секретный ключ для взаимодействия с сервером
TAC_GROUP_NAME="spider_admin,spider_operator" # Имена групп, которым разрешён доступ
TAC_SERVICE_NAME="spider" # Имя сервиса, используемое при проверке прав
После изменения конфигурации необходимо перезапустить сервис sp-spider:
sudo systemctl restart sp-spider