Kerberos身份验证#
Kerberos系统可以通过配置RStudio Connect来登录RStudio 英格兰vs伊朗让球ConnectLinux PAM以及在服务器上配置PAM以使用Kerberos。
请注意
英格兰vs伊朗让球RStudio Connect不卡塔尔世界杯欧洲预选赛赛程表支持Kerberos SSO (Windows Integrated Auth/SPNEGO),但是可以通过SAML或OIDC/OAuth2身份提供程序来提供对Kerberos身份验证的支持,它们得到了SAML或OpenID连接集成。
使用这种集成,用户身份验证将由Kerberos通过PAM处理。但是,组功能是由RStudio Connect提供的,组与PAM可能提供的Linux组没有关系。英格兰vs伊朗让球
提示
Kerberos集成对于不同的人通常意味着不同的事情,这取决于他们试图实现什么。下面的信息将帮助您配置PAM集成,以便在RStudio Connect中进行用户身份验证。英格兰vs伊朗让球可以从发布的内容中找到关于使用Kerberos票据的更多详细信息在这里
配置示例#
请注意
的PAM配置附录包含关于每个PAM配置选项的信息。
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(认证)提供者=“帕姆”(PAM);这些默认值应该进行调整;符合所需的PAM支持水平:卡塔尔世界杯欧洲预选赛赛程表服务=“rstudio-英格兰vs伊朗让球connect”;; UseSession =假; ForwardPassword =假;在尝试排除与PAM有关的问题时,;您可以通过启用以下行来启用更详细的日志记录;日志= true
提示
看到PAM会话部分中有关在启动与内容相关的流程时使用PAM会话的信息。
PAM服务#
的方法,可以更改用于身份验证的PAM服务PAM。服务
设置。用于身份验证的缺省PAM服务名称为英格兰vs伊朗让球rstudio-connect
.
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(PAM)服务=“英格兰vs伊朗让球rstudio-connect”
中可以配置三种类型的PAM服务帕姆
配置部分。的PAM会话部分包含附加信息。
PAM。服务
:用于用户登录时认证的PAM服务。提示
如果Linux上的用户帐户是在外部发放的,则可能需要使用pam_mkhomedir模块,以便在第一次登录时自动创建用户的主目录。
PAM。SessionService
:当PAM。UseSession
时,此PAM服务用于作为默认用户或任意用户运行流程。该服务不需要密码。提示
您可能需要使用
pam_rootok
模块来完成此任务。PAM。AuthenticatedSessionService
: PAM服务,用于以当前登录的用户和用户密码运行进程。需要PAM。UseSession
,PAM。ForwardPassword
,应用程序。RunAsCurrentUser
要启用。这在Kerberos配置中非常有用,可以允许运行内容作为访问用户访问经过身份验证的资源。
下面的示例假设RStudio Connect配置为使英格兰vs伊朗让球用英格兰vs伊朗让球rstudio-connect
用于身份验证的PAM服务名称。
Ubuntu#
英格兰vs伊朗让球RStudio Connect不会在Ubuntu系统上创建PAM服务。当RStu英格兰vs伊朗让球dio Connect试图使用英格兰vs伊朗让球rstudio-connect
服务名称进行身份验证时,PAM将识别不存在具有该名称的服务,并退回到默认值其他
服务位于/etc/pam.d/other
.
默认的Ubuntu其他
service配置为从一组公共PAM服务继承:
# Ubuntu默认的“其他”PAM服务。@include common-auth@include通用的帐户@include common-password@include common-session
如果其他
服务适用于您的组织,不需要进一步配置。
否则,创建和配置/etc/pam.d/英格兰vs伊朗让球rstudio-connect
防止帕姆掉回其他
服务。方法进行后续身份验证尝试时,PAM将使用此服务英格兰vs伊朗让球rstudio-connect
服务名称。
Red Hat / CentOS / SUSE#
Red Hat/CentOS/SUSE系统默认会拒绝访问未知的PAM服务名。这是因为其他
配置在/etc/pam.d/other
只包含“拒绝”规则。
# % pam - 1.0# redhat /CentOS默认的“其他”PAM服务。身份验证需要pam_deny.so账户需要pam_deny.so密码需要pam_deny.so会议要求pam_deny.so
RStu英格兰vs伊朗让球dio Connect RPM安装一个英格兰vs伊朗让球rstudio-connect
PAM服务位于/etc/pam.d/英格兰vs伊朗让球rstudio-connect
.该服务被配置为要求用户ID大于500,并根据本地系统帐户进行身份验证。
# % pam - 1.0# RStu英格兰vs伊朗让球dio Connect默认的PAM服务。身份验证必要pam_succeed_if。所以uid >=500年安静身份验证需要pam_unix。所以nodelay账户需要pam_unix.so
这个默认的PAM服务可能不能反映您想要的RStudio Connect的身份验证行为。英格兰vs伊朗让球请随意为您的组织定制此服务。
配置PAM服务#
的默认行为有不同的需求时,此部分可能会有帮助英格兰vs伊朗让球rstudio-connect
PAM服务名称。请咨询您的PAM/系统管理员,以确保RStudio Connect PAM服务配置符合您的需求。英格兰vs伊朗让球
如果您的系统已经有一个PAM服务(例如。/etc/pam.d/login
)和所需的行为,它可能足够简单地从RStudio Connect服务中包含该服务。英格兰vs伊朗让球例如:
连接英格兰vs伊朗让球遵从现有登录服务的PAM服务。@include登录
或者,您可以将现有的服务复制到RStudio Connect服务中。英格兰vs伊朗让球
sudo cp /etc/pam.d /登录/etc/pam.d/rst英格兰vs伊朗让球udio-connect
最后,您可以配置PAM。服务
设置以引用该PAM服务。如果你有一个共同的英格兰vs伊朗让球
例如,您可以在所有RStudio产品中使用的服务。英格兰vs伊朗让球
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(PAM)服务=英格兰vs伊朗让球
如果你改变PAM。服务
从默认设置英格兰vs伊朗让球rstudio-connect
中定义的PAM服务/etc/pam.d/英格兰vs伊朗让球rstudio-connect
将不会被使用。
用户配置#
PAM身份验证要求RStudio Connect中的用户具有相应的本地系统帐户。英格兰vs伊朗让球在第一次登录RStudio Connect之前,应该准备好这些帐户。英格兰vs伊朗让球Linux名称服务开关(NSS)或系统安全服务守护程序(SSSD)可以在托管RStudio Connect的机器上配置,以自动化这些本地帐户的配置。英格兰vs伊朗让球
用户也可以在第一次登录之前在RStudio Connect英格兰vs伊朗让球中创建,通过RStudio Connect服务器API将其添加为用户。
首次登录时进行注册#
默认情况下,PAM用户可以在第一次成功登录尝试时在RStudio Connect英格兰vs伊朗让球中创建。控件中指定的角色将创建帐户授权。DefaultUserRole
设置(见用户角色).
禁止首次登录时注册#
如果您希望禁用此功能,请设置配置设置PAM。RegisterOnFirstLogin
来假
.
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(PAM)RegisterOnFirstLogin=假
重要的
使用此选项需要通过RStudio Connect Server API专门创建用户。英格兰vs伊朗让球
用户名#
根据Linux对用户名的要求,用户名必须唯一且区分大小写。此外,他们必须坚持以下几点:
- 长度为3-64个字符
- 以字母开头
- 只包含字母数字、下划线和句点
- 禁止使用以下值:
连接
,应用程序
,用户
,组
,向setpassword
,user-completion
,确认
,最近
,报告
,情节
,未发表的
,设置
,指标
,令牌
,帮助
,登录
,欢迎
,注册
,resetpassword
,内容
编辑用户属性#
英格兰vs伊朗让球RStudio Connect总是提供与Linux帐户用户名对应的用户名,因此是不可编辑的。
警告
更改Linux帐户的用户名将导致在该用户下次登录时在RStudio Connect中创建一个新用户。英格兰vs伊朗让球
用户的名、姓和电子邮件地址不由托管系统提供,被认为是可编辑的。设置授权。UserInfoEditableBy
默认值为AdminAndSelf
,允许用户和管理员管理这些用户配置文件属性。配置授权。UserInfoEditableBy
与管理
配置文件的编辑是否仅限于管理员。
提示
如果禁用,建议禁用PAM。RegisterOnFirstLogin
,您也可以配置授权。UserInfoEditableBy
来管理
.
用户角色自动映射#
英格兰vs伊朗让球在使用PAM身份验证提供程序时,RStudio Connect不提供映射用户角色的功能。角色必须在RStudio Connect仪表板内或通过RStudi英格兰vs伊朗让球o Connect Server API进行管理。
组成员管理#
英格兰vs伊朗让球RStudio Connect允许将用户组织到组中。管理员可以在RStudio Connect仪表板中的“People”选项卡中或通过RStudio Connect Server API管理本英格兰vs伊朗让球地组。
请注意
这些组是RStudio Connect的本地组,与配英格兰vs伊朗让球置PAM的主机上的Linux组没有关系。
提示
如果在RStudio Connect中完全不需要组,请设置英格兰vs伊朗让球授权。用户组
配置选项假
.