Configuration de la sécurité au niveau des fichiers dans CAS

La sécurité au niveau des fichiers dans le stockage adapté au contenu (CAS) garantit que les utilisateurs ne peuvent accéder qu'aux données qu'ils sont autorisés à lire dans le système de fichiers.

Avant de commencer

Installez les composants suivants :

Un serveur d'annuaire, tel que OpenLDAP, doit stocker des informations sur l'identifiant numérique de l'utilisateur et l'identifiant numérique du groupe, ainsi que sur les identifiants de groupe supplémentaires.
Un fournisseur d'identité externe (IDP) qui utilise la norme OpenID, telle que Keycloak. L'IDP doit utiliser le serveur d'annuaire pour la fédération d'utilisateurs afin de récupérer et de fournir les attributs d'utilisateur suivants au point de terminaison/userinfo:
- userID
- groupID
- supplementalGroups
  Note : Le site supplementalGroups doit contenir les identifiants numériques des groupes de l'utilisateur.
  
  Note : Les noms d'attributs (userID, groupID, et supplementalGroups) sont utilisés à titre d'exemple. Vous pouvez utiliser des noms d'attributs différents si nécessaire. Lors de la configuration de la mise en correspondance des revendications, ces noms d'attributs personnalisés sont mis en correspondance avec les noms standard reconnus par CAS : userID, groupID, et supplementalGroups.
Clients du système de fichiers
- Les clients du système de fichiers montent à distance le système de fichiers de stockage de la source de données CAS. Pour plus d'informations, voir Montage d'un système de fichiers GPFS distant dans la documentation de IBM Storage Scale.
- Les machines clientes du système de fichiers sont ensuite configurées pour utiliser le même serveur d'annuaire pour l'authentification des utilisateurs. Pour plus d'informations, voir Configuration des serveurs d'authentification pour configurer l'accès des utilisateurs au protocole dans la documentation de IBM Storage Scale.
espace adresse de coordination
- Configurez CAS pour qu'il se connecte à l'IDP configuré pour fédérer les utilisateurs à partir du même serveur de répertoire que celui utilisé par les machines clientes du système de fichiers. Pour plus d'informations, voir Configurer CAS pour se connecter à votre fournisseur d'identité (IDP).

A propos de cette tâche

La sécurité au niveau des fichiers utilise un fournisseur d'identité externe (IDP) intégré à un serveur d'annuaire pour récupérer votre ID d'utilisateur numérique, votre ID de groupe numérique et vos ID de groupe supplémentaires. Au moment de la requête, il effectue un contrôle d'accès en temps réel pour vérifier si l'utilisateur dispose de l'autorisation de lecture pour le fichier parent de chaque vecteur correspondant.

Lorsque la sécurité au niveau des fichiers est activée, les utilisateurs et les groupes autorisés par le contrôle d'accès aux ressources CAS (CRAC) peuvent toujours exécuter des requêtes CAS. Toutefois, les résultats de la recherche sont limités aux fichiers pour lesquels l'utilisateur a un accès en lecture. La sécurité au niveau des fichiers est configurée au niveau du déploiement CAS et s'applique à tous les processeurs de documents et à tous les domaines, qu'ils soient existants ou nouvellement créés.

Cette fonctionnalité nécessite l'intégration de CAS avec un site externe IdP qui fédère les utilisateurs à partir du même répertoire LDAP que celui utilisé pour authentifier les utilisateurs du système de fichiers.

Remarque : Sans configuration de la sécurité au niveau des fichiers, le CAS renvoie les résultats de toutes les données ingérées dans un domaine à tout utilisateur ayant un accès au niveau du domaine, quelles que soient les autorisations de lecture au niveau des fichiers.

Pour activer la sécurité au niveau des fichiers, procédez comme suit :

Procédure

Créez une contrainte de contexte de sécurité qui accorde des capacités aux conteneurs CAS ACL_Checker , SETUID et SETGID . Pour plus d'informations, voir la documentation de Kubernetes.
À l'aide de la commande suivante, appliquez le script disponible à l'adresse GitHub :
```
oc apply -f acl-checker-security.yaml
```
Note : Des privilèges d'administrateur sont requis pour appliquer le script YAML à votre cluster.
Configurez le CAS pour qu'il utilise les réclamations appropriées pour les informations relatives à l'identifiant de l'utilisateur, à l'identifiant du groupe et aux groupes supplémentaires dans l'IDP externe et le système de fichiers. Pour plus d'informations, voir Configurer CAS pour qu'il se connecte à votre fournisseur d'identité (IDP).
Configurez CAS pour activer la sécurité au niveau du fichier pendant l'exécution de la requête.
1. Téléchargez le script d'aide disponible dans GitHub.
2. Exécutez le script téléchargé avec votre espace de noms CAS comme premier paramètre et activez la sécurité au niveau des fichiers avec "true" comme deuxième paramètre en utilisant les commandes suivantes :
```
chmod +x ./configure-file-security.sh

./configure-file-security.sh <YourCasNamespace> true
```

Résultats

La fonction de sécurité au niveau des fichiers est activée dans CAS ConfigMap et le déploiement de CAS est redémarré.

======= Fusion Content-aware Storage (CAS) Configure File Level Security Script Target Namespace: ibm-cas =======
ENABLE_FILE_LEVEL_SECURITY is now set to true
Patching query-search deployment
Restarting query-search deployment
Query-search deployment is available Patching Document Processor Deployments

Deleting <YourDocumentProcessor1Name> deployment
Restarting <YourDocumentProcessor1Name>
deployment
<YourDocumentProcessor1Name> deployment available
<YourDocumentProcessor1Name> deployment is running with file level security

Deleting <YourDocumentProcessor2Name> deployment
Restarting <YourDocumentProcessor2Name>
deployment
<YourDocumentProcessor2Name> deployment available
<YourDocumentProcessor2Name> deployment is running with file level security

File Level Security Script has completed successfully.