如何排除JFrog访问?(视频)

JFrog Access故障排除示例

视频转录

大家好，我是JFrog的Mari。在本视频中，我们将介绍如何开始对访问和安全问题进行故障排除的初步步骤。

下面是我们今天要讲的四个主题。第一个问题是，“什么是访问?”第二个问题是“Access是如何工作的?”第三个问题是，“如何定义访问和安全性?”第四个是“Access日志概述以及如何开始使用日志进行故障排除”。

JFrog Access打包在Artifactory中，作为其微服务之一。更具体地说，Access管理所有JFrog服务的身份验证和授权请求。通过持续访问，不仅确保授权用户对二进制文件具有唯一的访问权限，而且还根据权限对二进制文件进行访问和授权操作，从而确保二进制文件的安全性。

Access是如何工作的?正如我前面提到的，Access是与Artifactory一起打包的。在安装过程中，Access与Artifactory一起安装在同一个Tomcat下。一旦Artifactory启动并运行，它就会通过内部REST API调用与Access通信。对于其他服务，如Xray和Mission Control，连接是在将Artifactory设置为身份验证提供者时建立的。对于Distribution，连接是通过Mission Control的身份验证提供程序进行的。

有四种方式定义访问和安全性。首先是用户、组和权限;第二是用户配置文件;第三种是访问令牌;第四个是Access Federation。[听不清00:01:48]组可以直接在Artifactory中创建，也可以通过外部认证服务(如LDAP、SAML或Crowd)创建。无论用户和组是以何种方式创建的，Access的角色都强制执行用户和组之间的关系以及分配给它们的权限，并确保允许用户执行所需的操作。

用户配置文件为每个用户提供他们的API密钥、电子邮件和密码、Bintray设置和绑定OAuth帐户。访问令牌提供了基于时间的访问控制功能，是身份验证的另一种方法，可以代替用户和密码使用。访问令牌的一些流行用例是跨实例身份验证和非用户身份验证。Access Federation为公司的所有全局JFrog服务完全同步用户、组、权限、访问令牌和安全更改。

在深入了解每个Artifactory访问日志之前，让我们先了解一些基础知识。所有Artifactory日志(包括访问日志)都位于JFrog_HOME/ Artifactory /var/log下。您可以根据服务标识符jfac在控制台和Artifactory服务日志中判断哪些日志属于Artifactory，正如您在这里看到的那样。

现在让我们深入了解每个访问日志。首先是访问安全审计日志;第二个是访问请求日志;三是接入服务日志;第四个是人工访问日志。首先是访问安全审计日志。该日志记录用户、组、权限目标和访问令牌的创建、更新和删除。让我们做一个快速的故障排除练习。一个名为“enemy”的未知新管理员用户可以访问我们的实例。用户的“敌人”一直在删除重要的工件，破坏生产。 We need to find out who created ‘enemy’ to find out his or her identity. So if we go back to the previous slide, we can see that the access security audit log logs the creation, update, and deletion of users. We’re going to use this log to find out who created the username ‘enemy’. So as I mentioned before, all the logs are going to be… Right. Okay, great. So in this log, we can see the time, date and user and privileges that the user ‘enemy’ has. We can see that the user that created enemy was ‘his psychic’.

因此，访问请求日志提供了用于创建、更新和删除用户、组、权限目标和访问令牌以及健康检查的HTTP流量信息。这里有一个健康检查的例子。访问安全审计日志和访问请求日志的区别在于，它会输出HTTP响应。所以你知道它是成功的还是有一个许可错误。

第三个日志是访问服务日志。此日志记录访问服务器活动上的数据。在上一个故障排除示例中，我们研究了如何查看访问日志以调查安全事件。现在，让我们看看如何查看Artifactory启动失败的日志。在跟踪控制台日志之后，您可以看到我们在这里看到的第一个错误是在jfac下，这是多余的。现在我们进入访问服务日志。让我们打开访问服务日志，在这里我们可以看到错误是关于连接的。关键不匹配。

对日志进行故障排除的另一种方法是通过这里的标识号。标识号将来自所有微服务的与特定错误相关的所有日志分组在一起。作为一个例子，我们也来做这个。在这里，你可以看到在访问服务和控制台日志中都有关于这个标识号的日志。如果我们查看控制台日志，我们可以从头到尾跟踪完整的错误。所以这里的问题很清楚。我们得把连接处修好。密钥文件，该文件位于安全文件夹中。我们要做的是遍历所有其他节点并确保连接。键与连接中的键相同。键入其他节点。我们确认后，加入。key is cracked, we’re going to go ahead and save it and restart Artifactory.

我们刚刚启动了Artifactory，我们将跟踪控制台日志以确保Artifactory正确启动。在这里，您可以看到所有服务都成功启动的消息。让我们进入浏览器，在这里我们可以看到Artifactory正在启动。

所以最后一个与访问相关的日志是Artifactory访问日志。虽然这个日志不是直接在Access下，但是它也记录了关于接受/拒绝登录的信息，以及下载浏览和工件部署的信息。

我希望这个视频能够给你更多的信息，关于访问和安全是如何工作的，以及如何开始调试与之相关的问题。谢谢。