外置认证系统功能说明
外置用户认证下,登录控制通过锁定实现
当部署选择对接外置认证系统时,可以设置同步过来的用户默认值为锁定还是正常,默认值为允许
- 当设置为正常时,则默认同步的所有用户状态为正常,可以直接登录fastone平台
- 当设置为锁定时,则默认同步的所有用户状态为锁定,默认不能登录fastone平台,管理员可以给用户修改为正常之后才可以登录
平台部署时,则进行一次用户和组信息同步,即平台部署完成后,admin登录fastone平台,可以看到同步过来的所有用户和组信息
外置用户登录验证流程
当外置用户登录平台时
- 首先判断该用户是否在外置用户认证系统上存在,如果不存在,则登录失败,并提示”登录失败,请检查用户名密码是否正确“;
- 如果存在,则判断外置用户密码是否正确,如果错误,则登录失败,并提示”登录失败,请检查用户名密码是否正确“
- 如果密码正确,则判断该用户是否在fastone平台的用户管理中存在
- 如果存在,则再次判断此用户在fastone平台上是否被锁定,如果被锁定,则登录失败,并提示”登录失败,请检查用户名密码是否正确“;如果没被锁定,则判断该用户的用户角色
- 普通用户,则登录成功,并显示普通用户界面
- 管理员,则登录成功,则显示管理员界面
- 如果不存在,则平台同步此用户,并判断同步过来的用户默认策略
- 如果为锁定状态,则登录失败,并提示”登录失败,请检查用户名密码是否正确“
- 如果为正常状态,则登录成功,显示普通用户界面(同步过来的用户默认为普通用户)
- 如果存在,则再次判断此用户在fastone平台上是否被锁定,如果被锁定,则登录失败,并提示”登录失败,请检查用户名密码是否正确“;如果没被锁定,则判断该用户的用户角色
用户管理
定期同步外置用户认证系统上的新增的用户和用户所属组信息
定期同步时,如果外置认证系统上删除了用户,平台上的用户管理中仍然保留已经删除的用户,但被删除用户无法登陆平台。如果此用户在平台内存在关联资源,这些关联资源将只能由管理员或同级别权限的用户释放, 例如集群、任务、文件、包年包月机器。
同步过来的用户默认加入defaultGroup组,defaultGroup组功能和内置LDAP相同,用来做普通用户的默认�权限控制
用户列表字段说明
- UID:外置认证系统上的用户UID
- 姓名:默认值和用户名相同,支持管理员修改,支持普通用户自己修改
- 用户名:外置认证系统上的用户名,不支持修改
- 手机号:默认值为空,支持管理员修改
- 登录Shell:默认值为-,不支持修改
- 用户目录:默认值为-,不支持修改
- 状态:如果部署时设置的默认值为锁定,则默认状态为锁定;如果部署时设置的默认值为允许,则默认状态为正常,支持管理员修改;并在状态上展示正常或者锁定的原因
- 过期时间:默认值为空,支持管理员修改
- 邮箱:默认值为空,支持管理员修改,支持普通用户自己修改
- 角色:默认值为普通用户,支持管理员修改
状态说明
- 如果用户同步时,发现外置用户认证系统上删除了用户,则用户状态自动置为锁定,且被删除的用户不能被编辑
- 如果为锁定状态,在锁定状态上显示锁定的原因,原因有外置用户认证系统上用户被删除导致的锁定,或者由于默认设置的状态为锁定,或者由于管理员手动设置的锁定
- 如果为正常状态,在正常状态上显示正常的原因,原因有默认设置的状态为正常,或者是由于管理员手动设置的正常状态
操作
- 编辑:管理员支持编辑外置用户,可以编辑姓名、手机号、状态、过期时间、邮箱、角色,不支持编辑用户名、登录Shell、用户目录;普通用户自己可以编辑自己的姓名、邮箱和修改密码;被删除的用户不能被编辑
- 删除:不支持删除用户
- 添加:不支持添加用户组管理
用户组
组列表字段说明
定期同步组信息:组GID、组名、组成员,如果外置认证系统上有新增的组,则fastone平台同步新增组,如果外置认证系统上删除了组,fastone也删除外置认证系统上已经删除的组
- GID:外置认证系统上组的GID
- 组名:外置认证系统上的组名
- 描述:默认值为空
- 组成员:外置认证系统上该组中所拥有的组成员
- 企业微信:默认值为空
- 飞书:默认值为空
操作
- 添加:不支持添加组
- 删除:不支持删除组
- 编辑:支持编辑组,支持编辑描述、添加企业微信、添加飞书,不支持编辑GID、组名、组成员
外置/内置认证系统下用户锁定行为
| 用户认证系统 | 状态 | 提示 |
|---|---|---|
| 内置LDAP | 锁定->正常 | 解锁之后,用户在10-20分钟之后状态恢复正常,即可正常访问Fastone平台 |
| 内置LDAP | 正常->锁定 | 锁定之后,用户在10-20分钟之后将无法访问fastone平台的任何服务 |
| 外置LDAP/NIS/AD | 锁定->正常 | 解锁之后,用户即可正常访问fastone平台,请同步在认证系统上解除相关限制,以便用户可以通过SSH等其他方式登录主机 |
| 外置LDAP/NIS/AD | 正常->锁定 | 锁定之后,用户将不能正常登录fastone平台,请同步在认证系统上进行相关限制,防止用户仍能通过SSH等其他方�式登录主机 |