OVS подключения клиента к базе данных с использованием SSL для предоставления услуг аутентификации, RBAC (роль управления доступом на основе, RBAC) разрешение предоставлять услуги клиентам, подключенным к операции OVS базы данных. RBAC позволяет администратору ограничить операции с базами данных клиента, которые могут быть выполнены для дальнейшего повышения безопасности было обеспечено SSL.
Теоретически, любая база данных OVS может быть определены роли RBAC и разрешение, но в настоящее время только OVN Юг имеет соответствующую таблицу для поддержки базы данных RBAC.
механизм
RBAC предназначена для дополнения SSL. Чтобы включить RBAC, подключение к базе данных необходимо использовать SSL. RBAC Определенных прав на основе сертификата общего имени (CN), подключенный клиент.
РЦСБ под контролем двух таблиц базы данных, т.е. RBAC_Role и RBAC_Permission. BAC_Permission записи таблицы, описывает набор информации управления доступом в таблицу базы данных.
RBAC_Permission таблица содержит следующее:
таблица
описывает свою власть во имя таблицы базы данных.
insert_delete
описывают ли разрешить вставку и удаление записей.
обновить
список столбцов , чтобы разрешить обновления.
авторизации
список имен столбцов. В котором поле CN должно соответствовать сертификат SSL, для того , чтобы попытаться операцию таблицы может быть успешным. Если пара ключ-значение, ключ имя столбца, значение имени ключей столбцов. Пустая строка означает , что позволяет всем клиентам , чтобы выполнить операцию.
RBAC_Role таблица содержит следующее:
назвать
роли определяются именами ,
полномочия
по список пар ключ-значение. Ключ имя таблицы базы данных, значение таблицы RBAC_Permission записывается UUID, описывает роль власти к столу.
Примечание :
Все записи не RBAC_Role явно упоминаться таблицы только для чтения
Чтобы включить RBAC, установить имя роли в качестве базы данных set-connection
команды параметров. Например, для того, чтобы «ОВН-контроллер» роль в базе данных, используйте следующую команду в Южной ОВН:
Для того , чтобы дать возможность RBAC, указать имя роли в качестве аргумента
команды Set-подключения для базы данных. В качестве примера, для того, чтобы
«ОВН-контроллер» роль в базе данных в южном ОВН, используйте следующую
команду:
$ ovn-sbctl set-connection role=ovn-controller ssl:192.168.0.1:6642
Предварительно определенные роли
В этом разделе описывается роль OVS / ОВН в рамках определения.
контроллер печи
ovn-controller
Роль базы данных назначается ОВН на юг, и используется демон под управлением программы управления ОВН-контроллера (гипервизоров). ovn-controller
ОВН на юг , чтобы подключиться к базе данных, в основном для чтения информации, но в некоторых случаях ovn-controller
также необходимо написать. ovn-controller
Роль предназначена для обеспечения ovn-controllers
только записывается в разумную позицию базы данных на юге. Таким образом, если злоумышленник взять на себя управление ovn-controller
демонами управления, труднее уничтожить все наложенные сети.
Настоятельно рекомендуется создать базу данных для южной ОВН ovn-controller
роли, в целях повышения безопасности.