腾讯云ES:一键配置,LDAP身份验证服务来了!

已于 2023-05-22 15:09:45 修改
阅读量169 收藏
点赞数
文章标签: 网络 java 大数据 python 数据库
于 2022-06-23 18:00:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cloudbigdata/article/details/125438002
版权

轻量目录访问协议LDAP(英文:Lightweight Directory Access Protocol),是一个运行在 TCP/IP 上的目录访问协议,您可通过集成ES和LDAP身份验证,实现统一的认证管理。本文介绍如何基于腾讯云Elasticsearch Service配置轻量目录访问协议LDAP认证,以实现相应角色的LDAP用户访问腾讯云Elasticsearch Service。

使用限制

  • LDAP身份验证是Elasticsearch官方商业特性X-pack提供的高级功能,当前仅在白金版集群支持。其他版本集群如需使用,请先升级至白金版。

  • 由于网络架构原因,2020年5月20号之前创建的集群不支持使用 LDAP。如需开启 LDAP 身份验证服务,可重新创建集群。

设置LDAP身份验证

  1. 登录腾讯云Elasticsearch 控制台,单击集群名称访问目标集群,跳转至基础配置页面。

  2. 访问控制模块,单击身份验证的编辑按钮,进入身份验证设置界面。

    e939cdab6944f3a1a5bce8d0a2a85659.png

  3. 填写相关内容

  • url:LDAP服务器地址。ldap服务器地址,以“ldap://”开头,后面填写域名或者IP地址。请确保填写的URL可在您的VPC下内网访问,否则该配置将无法生效。

  • bind_dn:用于LDAP服务器认证的成员DN。需满足DN层次型语法结构,如:cn=admin,dc=husor,dc=com,长度不超过200个字符。

  • bind_password:LDAP服务器连接密码。支持大小写字母、数字及符号-!@#$%&^*+=_:;,.?的组合,长度为6~63个字符。

  • user_search.base_dn:用于检索已绑定LDAP成员的基准DN。需满足DN层次型语法结构,如:ou=HusorSSO,ou=People,dc=husor,dc=com,长度不超过200个字符。

  • user_search.filter:查询过滤条件,系统将过滤满足条件的绑定关系。如:(uid={0})。

  • group_search.base_dn:用于检索已绑定LDAP用户组的基准DN。需满足DN层次型语法结构,如:ou=HusorSSO,ou=People,dc=husor,dc=com,长度不超过200个字符。

    2ec6dfa0030c1560c78dbf95e577ae1e.png

确认填写内容无误后,单击确定,在弹出的对话框中,阅读注意事项,确认后,集群将会重启,可以在集群变更记录中查看变更进度。

e7c43c9f356cec436b180a5e298a431a.png

设置成功后,您将会在身份验证看到LDAP已开启,如需修改LDAP身份验证设置,点击LDAP已开启即可进行编辑。

0c32f7c425f043619f4aebd111a4aa56.png

配置LDAP用户角色权限

  1. 设置了LDAP身份验证后,LDAP用户还没有被分配任何权限,无法使用LDAP方式访问ES集群/Kibana,需要在Kibana中对LDAP用户进行角色映射。

  2. 登陆腾讯云Elasticsearch 控制台,跳转进入集群的Kibana主页,进入Kibana的Dev Tools页面。

  3. 可参考官方文档 role mapping API,创建LDAP用户与角色的映射关系。例如下面的示例,为LDAP用户zhangsan赋予了superuser角色的权限。

POST _xpack/security/role_mapping/ldap_role_mapping_zhangsan?pretty
  {
    "roles": [ "superuser" ],
    "enabled": true,
    "rules": {
      "any": [
        {
          "field": {
            "username": "zhangsan"
          }
        }
      ]
    }
  }

关闭LDAP身份验证

  1. 登录腾讯云Elasticsearch 控制台,单击集群名称访问目标集群,跳转至基础配置页面。

  2. 访问控制模块,单击身份验证中的关闭按钮,在弹出的对话框中,阅读注意事项,确认后,LDAP关闭操作开始,集群将会重启,可以在集群变更记录中查看变更进度。

注意事项

  • 如果集群健康状态为 YELLOW 或 RED,进行修改配置操作有较大风险,需要先修复集群状态,再进行操作。

  • 如果集群存在无副本索引,修改集群配置时会有强制重启的提示和选项框,此时进行修改重启操作有较大风险,可能会出现部分数据短暂无法访问的情况,建议为所有索引添加副本之后,再进行修改配置操作。

免费体验活动专区

Elasticsearch 新用户可享 2核4G,0元 体验 30 天!顺畅体验云上集群

Elastic Meetup Online 第四期:

Elastic Stack 8.2 平台和解决方案更新

火爆预约中!  

搜索平台的更新包括范围查询、实时查询字段、随机采样聚合和新的机器学习功能。在数据探索发现方面更新了文档浏览器和字段统计分析。Elastic地图得到了多项更新和新功能。在提升数据分析的工作流和自动化方面改进了 Kibana的告警规则和工单功能的增强。快速浏览可观测性、安全和企业搜索三大解决方案的更新。

时间:6月30日(周四)下午14:30-15:30

腾讯云大数据
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ldap 身份验证的通用步骤
xufaxi的专栏
06-30 3万+
和利用数据库进行验证类似,LDAP中也是利用登陆名和密码进行验证LDAP中会定义一个属性password,用来存放用户密码,而登陆名使用较多的都是mail地址。那怎么样才能正确的用LDAP进行身份验证呢,下面是一个正确而又通用的步骤:        1. 从客户端得到登陆名和密码。注意这里的登陆名和密码一开始并没有被用到。        2. 先匿名绑定到LDAP服务器,如果LDAP服务
ldap统一用户认证php,针对LDAP服务器进行身份认证
weixin_42596214的博客
03-11 589
Symfony提供了不同的方法来配合LDAP服务器使用。Security组件提供:ldap user provider,使用的是form_login_ldap authentication provider,用于针对一台使用了表单登录的LDAP服务器。同所有其他user provider一样,它可以同任何authentication provider一起使用。http_basic_ldap aut...
kkitDeploy一部署openldap
IT运维技术圈
11-07 234
有朋友反馈说kkitdeploy在开始刚开始启动的时候会出现下拉菜单没有选项及内容,这是因为后台在更新云端的脚本到你本地。如果你刷新页面它就会不更新了。 如下图: 波哥建议各位不要着急刷新页面,等一会他更新完了就会自动出内容,这样你的kkitdeploy就有最新的脚本集了****。****如果5分钟还没有出现,您可以尝试刷新一下页面。 项目简介: 项目主要使用docker的方式一部署各类应用及...
ES安全 -LDAP 接入方法
陈洪杰的博客
09-24 2296
注意:该项功能需要license Ldap测试命令 ldapsearch-x-D"cn=username,ou=people,dc=example,dc=com"-wpassword-b"dc=example,dc=com"-p389-hldap.example.com elasticsearch.yml 修改 order 数值越小越优先, ES7.X版本文档的配置项稍有不同,下面这个是6.X的配置,应该是兼容的 xpack: securi...
快速云:关于LDAP接入设计方式的详细讲解
zyp18065271351的博客
06-22 509
分享IDC知识
verdaccio-ldap:verdaccio的LDAP身份验证插件
02-03
verdaccio-ldap是一个叉sinopia-ldap 。 它的目的是保持与sinopia向后兼容性,同时保持npm的变化。 安装 $ npm install verdaccio $ npm install verdaccio-ldap 在verdaccio-LDAP插件+ OpenLDAP服务器装在泊坞窗...
nginx-auth-ldap:用于 nginx 的 LDAP 身份验证模块
05-30
用于 nginx 的 LDAP 身份验证模块nginx的LDAP模块,支持针对多个LDAP服务器的身份验证。如何安装FreeBSD cd /usr/ports/www/nginx && make config install clean 检查 HTTP_AUTH_LDAP 选项 [*] HTTP_AUTH_LDAP 3rd ...
django-auth-ldap:针对 LDAP 服务进行身份验证的 Django 身份验证后端
08-05
使用 LDAP 的 Django 身份验证 这是针对 LDAP 服务进行身份验证的 Django 身份验证后端。 配置可以像单个专有名称模板一样简单,但有许多丰富的配置选项可用于处理用户、组和权限。 文档: : PyPI: ://pypi.org/...
flarum-ext-auth-ldap:Flarum的LDAP身份验证扩展,这是一个用于建立社区的简单论坛软件
04-28
配置 LDAP server name :在论坛顶部将“ Login with结尾”链接设置为: LDAP domains or server IP adresses (comma separated) :要使用的LDAP服务器列表。 Base DNs (semicolon separated) :要在其中搜索用户的...
Adldap2-Laravel:用于Laravel的LDAP身份验证和管理
02-03
使用内置的身份验证驱动程序,轻松地允许LDAP用户登录到您的应用程序并控制哪些用户可以通过和登录。 轻松导入和同步LDAP用户。 可以在首次登录时将用户导入数据库,也可以通过简单的php artisan adldap:import...
快速搭建ldap
weixin_33895695的博客
11-27 288
搭建搭到想吐 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 5...
open LDAP 在线安装和配置-基于centos 7
a516476037的博客
09-26 235
安装openldap 注意:centos7中用yum安装的已是最新的openldap2.4的版本,默认配置方式是slapd(8) ,没有slapd.conf文件,若采取slapd.conf(5)方式需要新建该文件。 1、检查是否已经安装:rpm -qa openldap-servers 2、需要安装的包 必须 openldap-servers openldap-cli...
Security——Spring LDAP
十年梦归尘的专栏
12-08 519
Spring LDAP
ldap服务器用户组权限,ElasticSearch结合LDAP实现权限、用户管控
weixin_39696197的博客
07-30 954
项目背景使用ElasticSearch实现数据宽表,处理热交互数据,需要实现权限管控等功能,权限粒度要求精确到列。最初考虑使用Es的SearchGuard开源插件,发现SearchGuard的LDAP功能需要使用企业版,收费的,并且权限粒度仅支持到索引和type,并不支持列;后来采用Es提供的xpack插件,想办法处理下,就不收费了。Es需要安装xpack插件,配置默认用户,修改elastic用户...
ElasticSearch与LDAP的安装和安全认证
ck978105293的博客
09-01 2066
文章目录一、使用Docker安装ES和Kibana1.创建网络2.安装ES3.安装Kibana4.汉化Kibana二、使用Docker安装openLDAP和phpldapadmin1.安装openLDAP2.安装phpldapadmin3.验证是否安装成功三、破解ES XPack1.将复制到自己机器上2.使用反编译工具luyten打开(其他的应该也行)3.将编辑好的文件传回docker容器里4.进入ES容器5.申请License6.加载License四、ESLDAP的认证1.编辑elasticsearch
同步LDAP数据到ElasticSearch
weixin_43437629的博客
05-05 666
背景 、需求 在有数十万,甚至上百万的账号有AD(LDAP)中,通过某个字段匹配出符合要求对象的耗时是难以忍受的,作者在100w+的AD账号中搜索电话号码(AD中未加索引),耗时超过10min。有同学可能会提到说,可以对这些字段加索引就能解决,事实上是不可能的,索引本身会带来大量的磁盘消耗,如果对memberof这样的长字符串加索引更加不现实。于是作者实现将AD(LDAP)对象同步到elastic...
elasticsearch6.0安装xpack并配置ldap认证
weixin_34138521的博客
01-10 1900
elasticsearch概念解释参考: https://segmentfault.com/a/11...elasticsearch安装可参考:https://segmentfault.com/a/11... 安装xpack扩展 下载xpack插件包: https://artifacts.elastic.co/... 通过elastic...
搭建LDAP服务器详细流程
热门推荐
TJW729024716博客
04-06 1万+
本文详解的介绍了搭建LDAP服务器的详细流程,且亲自验证过。
LDAP统一认证服务解决方案
崔向阳@李晓的博客
11-02 8677
LDAP是什么 首先LDAP是一种通讯协议,LDAP支持TCP/IP。协议就是标准,并且是抽象的。在这套标准下,AD(Active Directory)是微软出的一套实现。 那AD是什么呢?暂且把它理解成是个数据库。也有很多人直接把LDAP说成数据库(可以把LDAP理解成存储数据的数据库)。像是其他数据库一样,LDAP也是有client端和server端。server端是用来存放资源,client端用来操作增删改查等操作。 而我们通常说的LDAP是指运行这个数据库的服务器。 可以简单理解AD =LD
使用LDAP进行身份验证,在LDAP服务器上怎么配置密码策略
最新发布
06-09
LDAP服务器上配置密码策略需要使用PPolicy(Password ...通过以上步骤,就可以在LDAP服务器上配置密码策略,从而实现更加安全的身份验证。需要注意的是,在客户端配置密码策略时,需要确保与LDAP服务器上的配置一致。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值