ElasticSearch与LDAP的安装和安全认证

已于 2024-06-26 10:49:53 修改
阅读量2.1k 收藏
点赞数
分类专栏: 运维部署 文章标签: docker elasticsearch ldap linux centos
于 2020-09-01 11:56:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ck978105293/article/details/108334905
版权
本文介绍了如何在Docker环境下安装Elasticsearch、Kibana、openLDAP和phpldapadmin,并详细阐述了Elasticsearch与LDAP的集成配置过程,包括编辑elasticsearch.yml,用户授权,以及Kibana使用LDAP账号进行安全认证的步骤。
摘要由CSDN通过智能技术生成

文章目录

    • 一、使用Docker安装ES和Kibana
      • 1.创建网络
      • 2.安装ES
      • 3.安装Kibana
      • 4.汉化Kibana
    • 二、使用Docker安装openLDAP和phpldapadmin
      • 1.安装openLDAP
      • 2.安装phpldapadmin
      • 3.验证是否安装成功
    • 三、关于ES XPack
    • 四、ES与LDAP的认证
      • 1.编辑elasticsearch.yml
      • 2.给用户授权
    • 五、Kibana使用LDAP账号

一、使用Docker安装ES和Kibana

my-company根据自己情况修改

1.创建网络

docker network create my-company

2.安装ES

docker run -d --name es --net my-company -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" elasticsearch:7.6.0

3.安装Kibana

docker run -d --name kibana --net my-company -p 5601:5601 kibana:7.6.0

4.汉化Kibana

docker exec -it kibana bash

修改/usr/share/kibana/config/kibana.yml
elasticsearch.hosts: [ “http://localhost:9200” ]
i18n.locale: “zh-CN”

二、使用Docker安装openLDAP和phpldapadmin

1.安装openLDAP

password改成自己想要的密码

docker run -p 389:389 -p 636:636 \
--volume /data/slapd/database:/var/lib/ldap \
--volume /data/slapd/config:/etc/ldap/slapd.d \
--env LDAP_DOMAIN=my-company.com \
--env LDAP_ADMIN_PASSWORD=password \
--name my-openldap --detach osixia/openldap:1.4.0

2.安装phpldapadmin

docker run -p 443:443 --env PHPLDAPADMIN_LDAP_HOSTS=ip --name phpldapadmin -d osixia/phpldapadmin:0.9.0

访问http://ip:443就可以登陆,账号是 cn=admin,dc=my-company,dc=com 密码是前面openLDAP里面的password,通过可视化界面,我们可以创建组(ou)和人

3.验证是否安装成功

docker exec my-openldap ldapsearch -x -H ldap://ip -b dc=my-company,dc=com -D "cn=admin,dc=my-company,dc=com" -w my-company

三、关于ES XPack

LDAP认证是收费功能,我用的是docker方式安装,所以这步稍微麻烦点,需要使用docker cp等命令,因为写了不能通过,所以请参考下面链接
参考文档
简单的说就是:
1.将容器中的jar包复制到本地
2.反编译工具打开将其中两个文件修改完
3.传回容器中,用容器中的jdk编译
4.复制一份原来的jar解压并替换两个class文件,然后压缩成jar包后替换原来的jar包

四、ES与LDAP的认证

这里主要参考官网

1.编辑elasticsearch.yml

docker exec -it es bash
cd config
cp elasticsearch.yml elasticsearch.ymlbak
vi elasticsearch.yml

添加如下:自行修改ip

xpack:
  security:
    authc:
      realms:
        ldap:
          ldap1:
            order: 0
            url: "ldap://ip:389"
            bind_dn: "cn=admin, dc=my-company, dc=com"
            user_search:
              base_dn: "dc=my-company,dc=com"
              filter: "(cn={0})"
            group_search:
              base_dn: "dc=my-company,dc=com"
            files:
              role_mapping: "/usr/share/elasticsearch/config/role_mapping.yml"
            unmapped_groups_as_roles: false

2.给用户授权

不给用户授权就无法登入ES,关于LDAP的设置可以

docker exec -it es bash
#在容器中使用,添加elastic账号的密码
bin/elasticsearch-keystore add \
xpack.security.authc.realms.ldap.ldap1.secure_bind_password

curl -X PUT -u elastic:密码 "localhost:9200/_security/role_mapping/admins?pretty" -H 'Content-Type: application/json' -d'
{
  "roles" : [ "monitoring" , "user" ],
  "rules" : { "field" : {
    "dn" : "cn=test,ou=testgroup,dc=my-company,dc=com" 
  } },
  "enabled": true
}
'

其他API命令可以查看官网

五、Kibana使用LDAP账号

docker exec -it kibana bash
cd config
vi kibana.yml
#添加
elasticsearch.username: "elastic"
elasticsearch.password: "密码"
皎夜既明
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ldap服务器用户组权限,ElasticSearch结合LDAP实现权限、用户管控
weixin_39696197的博客
07-30 993
项目背景使用ElasticSearch实现数据宽表,处理热交互数据,需要实现权限管控等功能,权限粒度要求精确到列。最初考虑使用Es的SearchGuard开源插件,发现SearchGuard的LDAP功能需要使用企业版,收费的,并且权限粒度仅支持到索引和type,并不支持列;后来采用Es提供的xpack插件,想办法处理下,就不收费了。Es需要安装xpack插件,配置默认用户,修改elastic用户...
Security——Spring LDAP
十年梦归尘的专栏
12-08 529
Spring LDAP
基于elastic stack的docker-compose部署的ELK与LDAP集成
kobe8.cn
06-27 405
说明:ldap信息配置到es配置文件上,然后kibana读取es的配置信息用户与角色的关系通过role_mapping.yml文件配置获取角色与权限的关系通过elastic stack提供的DevTools或API进行维护。
java中es如何过ldap认证,ldap认证(按照上一篇ldap认证步骤编程)
weixin_35318150的博客
03-11 177
package com.test.ldap;import java.util.Hashtable;import javax.naming.AuthenticationException;import javax.naming.Context;import javax.naming.NamingEnumeration;import javax.naming.NamingException;impor...
java中es如何过ldap认证,elasticsearch6.0安装xpack并配置ldap认证
weixin_28691441的博客
03-11 331
elasticsearch概念解释参考:https://segmentfault.com/a/11...elasticsearch安装可参考:https://segmentfault.com/a/11...安装xpack扩展下载xpack插件包: https://artifacts.elastic.co/...通过elasticsearch-plugin命令安装xpack;[[emailprot...
OpenLDAP安装Elasticsearch&Impala添加安全认证
&Mr.Lu~
06-15 304
对elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user分别设置密码,为了方便测试中使用自动生成。注:从OpenLDAP2.4.23版本开始所有配置数据都保存在/etc/openldap/slapd.d/中,建议不再使用slapd.conf作为配置文件。2、LDAP URL设置为“ldap://192.168.100.xx5:389/“离线rpm安装包下载地址:https://rpmfind.net/
elasticsearch-对接ldap认证
多年互联网一线运维开发经验,为多家企业独立开发过相关运维管理平台,负责过近千台服务器运维管理工作,对运维及运维开发岗位有深入理解。
03-26 1597
单节点es部署完成后,接入ldap
安全访问:如何在 Elasticsearch 中实现用户认证和授权
最新发布
07-18
### 安全访问:如何在Elasticsearch中实现用户认证和授权 在当前的数据驱动时代,Elasticsearch作为一款高效且强大的数据处理与分析工具,其应用已经非常广泛。但随之而来的是对于数据安全性的需求越来越高。为了...
elasticsearch集群安全加密插件之search-guard
11-04
Search Guard是一款强大的安全解决方案,专为Elasticsearch设计,提供全面的数据保护、访问控制和安全监控功能。它可以帮助企业满足合规性要求,确保数据在传输和存储过程中的安全性。下面我们将深入探讨Search ...
【高级篇】第8章 Elasticsearch 安全与权限管理
David的博客
07-02 1300
X-Pack,作为Elastic Stack的旗舰级扩展,不仅仅是一个附加组件,它是确保Elasticsearch集群安全、可观察性及扩展性的核心框架。
kibana-auth-proxy:Kibana的forwardAuth代理为ldap提供集成
03-04
kibana-auth-proxy 旨在用作Authelia的forwardAuth代理(可能还进行了其他测试,例如nginx,未经测试),以便使用LDAP / Active Directory在Elasticsearch中进行用户访问而无需付费订阅。 请求去特拉菲克 Traefik将其代理给Authelia以验证用户 如果它从Authelia接收到200转发报头到第二个auth-> kibana-auth-proxy kibana-proxy-auth: 为本地Kibana用户生成随机密码(与LDAP密码无关) 使用来自Authelia标头的信息在配置文件中创建/更新Kibana + AD组/ kibana角色映射中的本地用户 生成并传递回Traefik标头: Authorization: Basic XXXYYYZZZZ Traefik将用户通过Authorization标头
Elasticsearch安全认证与权限控制
介绍Elasticsearch安全认证与权限控制 ## 1.1 Elasticsearch安全概述 Elasticsearch是一个分布式的搜索和分析引擎,具有强大的搜索功能和高效的数据处理能力。然而,随着数据的增加和应用场景的复杂化,对于数据...
Elasticsearch中的安全认证与权限控制
# 一、介绍Elasticsearch安全认证与权限控制 ## 1.1 Elasticsearch安全性的重要性 在当今信息安全日益受到重视的背景下,作为一种广泛应用于企业级场景的搜索引擎软件,Elasticsearch安全性问题备受关注。数据的...
同步LDAP数据到ElasticSearch
weixin_43437629的博客
05-05 701
背景 、需求 在有数十万,甚至上百万的账号有AD(LDAP)中,通过某个字段匹配出符合要求对象的耗时是难以忍受的,作者在100w+的AD账号中搜索电话号码(AD中未加索引),耗时超过10min。有同学可能会提到说,可以对这些字段加索引就能解决,事实上是不可能的,索引本身会带来大量的磁盘消耗,如果对memberof这样的长字符串加索引更加不现实。于是作者实现将AD(LDAP)对象同步到elastic...
tengine(nginx)开启openldap用户认证
完颜振江
01-24 263
1、安装依赖。 #yum -y install openldap-devel #yum install pcre pcre-devel -y #yum -y install openssl openssl-devel #yum groupinstall "Development Tools" -y 2、下载nginx-auth-ldap模块。 #yum -y install git #cd /soft/ #git clone https://github.com/kvspb/nginx-auth-
如何使用极限网关无缝集成 LDAP 的介绍
infinilabs的博客
05-15 351
本文目的为例验证极限网关和 ldap 之间的集成功能:直接访问网关,走 ldap 验证 kibana 连接网关,走 ldap 验证 最近公司对 Elasticsearch 集群安全抓的紧了,免费的用户名密码固然是好,但还是免不了得给不同的部门、应用创建账户,不想搞。直接 LDAP 不完了吗?难道没有别的方案了吗?一圈打听下来,还真有。
ES安全 -LDAP 接入方法
陈洪杰的博客
09-24 2328
注意:该项功能需要license Ldap测试命令 ldapsearch-x-D"cn=username,ou=people,dc=example,dc=com"-wpassword-b"dc=example,dc=com"-p389-hldap.example.com elasticsearch.yml 修改 order 数值越小越优先, ES7.X版本文档的配置项稍有不同,下面这个是6.X的配置,应该是兼容的 xpack: securi...
浅谈Elasticsearch安全和权限管理
dzqxwzoe的博客
03-12 1298
除了预定义的角色外,还可以创建自定义角色。例如,创建一个名为read_only创建一个名为。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值