ECS: CAS İstemcisi IP Kısıtlaması

Giriş:

• Bu özellik, müşteri istemci IP'lerinin bir CAS kovasına erişimini kısıtlamak istediğinde kullanılabilir. Yalnızca kısıtlama listesi altında ayarlanan IP'ler ilgili kullanıcıya erişebilir. 
• Varsayılan olarak, bir kullanıcı için herhangi bir kısıtlama ayarlanmamıştır. 
• CAS kullanıcısı IP kısıtlaması, tüm VDC'lerde kullanıcı için geçerlidir.
• Bir kullanıcı için varsayılan IP sınırı 10'dur ve yapılandırılabilir. 

CAS İstemcisi IP kısıtlamasını yapılandırma adımları:

1. CAS kullanıcısı oluşturma
2. Kullanıcıya erişim sağlamak istediğiniz IP listesiyle bir .xml dosyası oluşturun; CAS kullanıcısına erişmeye çalışan diğer tüm IP'ler başarısız olmalıdır FP_AUTHENTICATION_FAILED_ERR
3. Video (Video) öğesini vurgulamak için PUT belirli bir kullanıcı için bir IP kısıtlaması ayarlamak için komut
4. Video (Video) öğesini vurgulamak için GET Bir kullanıcı için ayarlanan kısıtlamayı alma veya görüntüleme komutu
5. Şunu yapmak için: EDIT bir kullanıcı için önceden ayarlanmış bir kısıtlama, xml dosyasını IP'lerle düzenleyin ve PUT
6. Şunu yapmak için: DELETE önceden ayarlanmış bir kısıtlamayı, <ip_restrictions>127.127.127.127</ip_restrictions> XML dosyasından bir PUT

IP kısıtlaması ayarlandığında örnek xml dosyası: (yalnızca bu iki IP'nin CAS kullanıcı access_user erişimi vardır)

cat new.xml
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_ip_restrictions_param>
<ip_restrictions>127.127.127.127</ip_restrictions>
<ip_restrictions>127.128.128.128 </ip_restrictions>
<user_name>access_user</user_name>
</user_ip_restrictions_param>

Aşağıdakiler: REST komutlar PUT, GET, LISTve DELETE işlemleri, Kök kullanıcı için bir erişim belirteci kullanılmalıdır.

Örnek:

admin@ecsnode1:~> TOK=$(curl -iks https://localhost:4443/login -u root:*** | grep X-SDS-AUTH-TOKEN); echo $TOK
X-SDS-AUTH-TOKEN: BAAcc1pZcEkxK3MyUU4xZy9ocEdnUXp0MHl2aTk0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOjdlNWQ0YzFkLTkzNjEtNDBkNS1iMWE4LTUwNzE5NDEwODRiZQIADTE2ODQ4MjYzOTk5OTIDAC51cm46VG9rZW46ODYzMzEyZDEtYzA3NC00MWFjLThlMjAtZDUzZmQ3Njk2MjVhAgAC0A8=
admin@ecsnode1:~> 

Kullanıcı IP kısıtlamalarını ayarlamak için:

PUT /object/user-cas/ip-restrictions/{namespace_name}/{user_name}

Example:

curl -ks -H 'Accept:application/xml' -H 'Content-Type:application/xml' -X PUT -d @new.xml -H "$TOK" https://10.245.xx.xx:4443/object/user-cas/ip-restrictions/cas_access/access_user

Yanıt gövdesi örneği 1: (varsayılan olarak, kullanıcı için herhangi bir IP kısıtlaması ayarlanmamışsa)

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_ip_restrictions>
<user_name>access_user</user_name>
</user_ip_restrictions>

Yanıt gövdesi örneği 2: (yalnızca aşağıda sağlanan istemci IP'sinin kullanıcıya erişimi vardır)

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_ip_restrictions_param>
<ip_restrictions>128.128.128.128</ip_restrictions>
<ip_restrictions>127.127.127.127</ip_restrictions>
<user_name>access_user</user_name>
</user_ip_restrictions_param>

Kullanıcı IP kısıtlamalarını almak için:

GET /object/user-cas/ip-restrictions/{namespace_name}/{user_name}

Example:

curl -ks -H "$TOK" -H "Content-Type: application/json" https://10.245.xx.xx:4443/object/user-cas/ip-restrictions/cas_access/access_user | xmllint -format -

Yanıt gövdesi örneği: (yalnızca aşağıda sağlanan istemci IP'sinin kullanıcıya erişimi vardır)

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_ip_restrictions>
<ip_restrictions>127.127.127.127</ip_restrictions>
<user_name>access_user</user_name>
</user_ip_restrictions>

Yanıt gövdesi örneği 2: (GET IP kısıtlaması ayarlanmadığında varsayılan olarak bir kullanıcı için)

curl -ks -H "$TOK" -H "Content-Type: application/json" https://10.245.xx.xx:4443/object/user-cas/ip-restrictions/cas_access/access_user | xmllint -format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_ip_restrictions>
<user_name>access_user</user_name>

Kullanıcıların IP kısıtlamalarını listelemek için:

GET /object/user-cas/ip-restrictions/

Example: (Her kullanıcı için IP kısıtlamalarını listeler)

curl -ks -H "$TOK" -H "Content-Type: application/json" https://10.245.xx.xx:4443/object/user-cas/ip-restrictions | xmllint -format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_ip_restrictions_list>
<userIpRestriction>
<user_name>tsouser</user_name>
</userIpRestriction>
<userIpRestriction>
<user_name>tsouser2</user_name>
</userIpRestriction>
<userIpRestriction>
<ip_restrictions>10.245.xx.xx</ip_restrictions>
<ip_restrictions>10.247.xx.xx</ip_restrictions>
<ip_restrictions>10.245.xx.xx</ip_restrictions>
<ip_restrictions>10.247.xx.xx</ip_restrictions>
<ip_restrictions>10.243.xx.xx</ip_restrictions>
<user_name>clientuser</user_name>                >>>these are the restrictions set for this user
</userIpRestriction>
<userIpRestriction>
<user_name>gctest</user_name>
</userIpRestriction>
<userIpRestriction>
<user_name>casgcuser2</user_name>
</userIpRestriction>
<userIpRestriction>
<user_name>user2</user_name>
</userIpRestriction>
<userIpRestriction>
<user_name>gcu2</user_name>
</userIpRestriction>
<userIpRestriction>
<user_name>casgcuser1</user_name>               >>>all these users doesn't have any restrictions set 
</userIpRestriction>
</user_ip_restrictions_list>

Bir kullanıcı için ayarlanmış IP kısıtlamalarını silmek için:

IP kısıtlama girişlerini .xml kaldırın ve PUT

cat new.xml
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_ip_restrictions_param>
<user_name>clientuser</user_name>
</user_ip_restrictions_param>

Komut:

curl -ks -H 'Accept:application/xml' -H 'Content-Type:application/xml' -X PUT -d @new.xml -H "$TOK" https://10.245.130.65:4443/object/user-cas/ip-restrictions/clientns/clientuser

Yanıt gövdesi örneği:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_ip_restrictions>
<user_name>clientuser</user_name>
</user_ip_restrictions>

Aşağıdaki örnekte, özelliğin sistem sırasındaki davranışı gösterilmiştir. PUTve GETve kısıtlama ile ve kısıtlama olmaksızın bir kullanıcıya erişim:

cat new.xml
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_ip_restrictions_param>
<ip_restrictions>127.127.127.127</ip_restrictions>
<user_name>access_user</user_name>
</user_ip_restrictions_param>

PUT:

curl -ks -H 'Accept:application/xml' -H 'Content-Type:application/xml' -X PUT -d @new.xml -H "$TOK" https://10.245.xx.xx:4443/object/user-cas/ip-restrictions/cas_access/access_user

GET:

curl -ks -H "$TOK" -H "Content-Type: application/json" https://10.245.xx.xx:4443/object/user-cas/ip-restrictions/cas_access/access_user | xmllint -format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_ip_restrictions>
<ip_restrictions>127.127.127.127</ip_restrictions>
<user_name>access_user</user_name>
</user_ip_restrictions>

JCASS kullanarak havuza 127.127.127.127 adresinden erişmeye çalıştım ve şunlara erişebildim:

CASScript>po 10.245.xx.xx?name=access_user,secret=centera@1234

Attempting to connect to: 10.245.xx.xx?name=access_user,secret=centera@1234

Connected to: 10.245.xx.xx?name=access_user,secret=centera@1234

CASPool Properties:
Connection String: 10.245.xx.xx?name=access_user,secret=centera@1234
Cluster Time: 2020.07.07 06:32:24 GMT
Buffer Size: 16384
Prefetch Buffer Size: 32768
Connection Timeout: 120000
Multi-Cluster Failover Enabled: True
Collision Avoidance Enabled: False

IP kısıtlama listesinde olmayan (izin verilenler listesi) bir IP'den havuza erişmeye çalıştınız. Havuza erişim aşağıdaki hatayı vererek başarısız olmalıdır:

CASScript>po 10.245.xx.xx?name=access_user,secret=centera@1234

Attempting to connect to: 10.245.xx.xx?name=access_user,secret=centera@1234

SDK Error Occurred:

     Error Number: -10153
     System Error: 0
     Error:        FP_AUTHENTICATION_FAILED_ERR
     Error Class:  null
     Trace:        HPPAuthCRTransaction.run<FPConnection::authenticate<Cluster.authenticate<Cluster::updateClusterInfo()<ClusterCloud::updateClusterInfo(e9f1a3c9-5cb1-3a76-a589-f639de9ad2e4)<ClusterCloud::getClusterInfo(0,ClusterInformation&,2)<FPPool::Open(10.245.130.64?name=access_user,secret=centera@1234)<_FPPool_Open(10.245.130.64?name=access_user,secret=centera@1234)<FPPool_Open8(10.245.130.64?name=access_user,secret=centera@1234)