如何使用极限网关无缝集成 LDAP 的介绍

已于 2022-05-17 13:09:44 修改
阅读量320 收藏
点赞数
分类专栏: INFINI Gateway 文章标签: elasticsearch big data 搜索引擎 gateway 运维
于 2022-05-15 23:13:56 首次发布
原文链接:https://elasticsearch.cn/article/14596
版权

导读:来自Elastic中文社区的分享,原文地址:https://elasticsearch.cn/article/14596

本文目的为例验证极限网关和ldap之间的集成功能:

  • 直接访问网关,走ldap验证
  • kibana连接网关,走ldap验证
    最近公司对Elasticsearch集群安全抓的紧了,免费的用户名密码固然是好,但还是免不了得给不同的部门、应用创建账户,不想搞。直接LDAP不完了吗?难道没有别的方案了吗?一圈打听下来,还真有。

实验步骤:

  1. 既然是验证ldap,肯定要先准备个ldap
    访问 https://github.com/glauth/glauth,下载对应的软件:https://github.com/glauth/glauth/releases
    下载ldap的配置文件:https://github.com/glauth/glauth/raw/master/v2/sample-simple.cfg
    运行ldap:./glauth64 -c sample-simple.cfg

手工验证下ldap是否正常:
ldapsearch -LLL -H ldap://localhost:3893 -D cn=serviceuser,ou=svcaccts,dc=glauth,dc=com -w mysecret -x -bdc=glauth,dc=com cn=hackers
能正常返回hackers的信息,则ldap运行正常:

  1. 配置极限网关
    下载极限网关:http://release.infinilabs.com/gateway/snapshot/
    本次测试下载的最新版本:gateway-1.6.0_SNAPSHOT-643
    下载完后,去sample里找下ldap的配置。

修改成自己的环境:

修改 set_basic_auth
flow:
  - name: hello_world
    filter:
      - ldap_auth:
          host: "localhost"
          port: 3893
          bind_dn: "cn=serviceuser,ou=svcaccts,dc=glauth,dc=com"
          bind_password: "mysecret"
          base_dn: "dc=glauth,dc=com"
          user_filter: "(cn=%s)"
          group_attribute: "ou"
          bypass_api_key: true
      - set_basic_auth:
          username: elastic
          password: password

修改elasticsearch资源
elasticsearch:
  - name: 717
    enabled: true
    endpoints:
      - http://192.168.56.3:7171
    basic_auth:
      username: elastic
      password: password
  - name: logging
    enabled: false
    endpoints:
      - http://192.168.3.188:9206
    basic_auth:
      username: elastic
      password: Bp2HyArQDd+5PdgEJ4QH


pipeline:
  # pipelines for logging
#  - name: consume-request_logging_index-to-backup
#    auto_start: true
#    keep_running: true
#    processor:
#      - json_indexing:
#          index_name: "test-gateway_requests"
#          elasticsearch: "logging"
#          input_queue: "request_logging"

启动网关:./gateway-linux-amd64 -config sample-configs/elasticsearch-with-ldap.yml

  1. 测试ldap是否正常
  2. 直接访问网关,使用ldap中的用户
    curl localhost:8000 -u hackers:dogood

正常返回es的信息
搜索下

  1. kibana连接网关,输入ldap用户名和密码后登录到Elastic
kibana 配置网关的地址和ldap中的用户
elasticsearch.hosts: ["http://127.0.0.1:8000"]
elasticsearch.username: "hackers"
elasticsearch.password: "dogood"

启动kibana后,用ladap用户登录


逻辑:ldap验证通过后,使用 set_basic_auth 中设置的用户名和密码登录到Elasticsearch

至此,本次测试就结束了,ldap功能集成功能正常。而且本方案对Elasticsearch集群无侵入,部署简单。顺手翻了下网站,其实网关还有很多其他高大上的功能:跨站数据查询,高可用,在线查询修改等。阔以,一举多得。期待后续为各个ldap用户增加到Elastic用户的映射就更加完美了。
目前准备预发环境搞起来。发文冒个泡,希望有在使用的小伙伴一起多交流。

INFINI Labs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx集成LDAP
StarsL
04-30 3342
安装 git clone https://github.com/kvspb/nginx-auth-l
LDAP 与各系统的集成
flyoxs的专栏
11-13 9063
  PAM 模块的LDAP 配置 使用 PAM 进行验证的系统有: Linux 系统登录:etc/pam.d/system.auth SSH vsFTP PAM 的 LDAP 配置文件为: /etc/nsswitch.conf /etc/ldap.conf PAM 的交互配置命令为 authconfig-tui   Subversion (Apache) 的 LDAP 配置 与 Apache 2.0 相比,Apache 2.2 改进了认证和授权模块的管
探索 Glauth:一个轻量级、高效的LDAP身份验证服务器
最新发布
gitblog_00058的博客
03-23 626
探索 Glauth:一个轻量级、高效的LDAP身份验证服务器 项目地址:https://gitcode.com/glauth/glauth Glauth 是一个开源的身份认证服务器,基于 LDAP(Lightweight Directory Access Protocol)协议,它为你的络服务提供了一个安全、灵活且可扩展的身份管理解决方案。在这个指南中,我们将深入探讨 Glauth 的核心功能、...
使用docker konga 接入ldap
peiyinshi2330的博客
05-22 429
docker 启动konga 接入ldap 接入到ldap 可参考 官方文档 https://github.com/pantsel/konga/blob/master/docs/LDAP.md docker run -d -p 1337:1337 -e “TOKEN_SECRET=123” -e “DB_ADAPTER=postgres” -e “DB_HOST=172.17.31.18” -e “DB_PORT=5432” -e “DB_USER=kong” -e “DB_PASSWORD=
Nginx 结合Python Ldap认证用于Kibana权限登陆
weixin_34067049的博客
12-24 1023
参考及依赖 https://github.com/nginxinc/nginx-ldap-auth http://nginx.org/ nginx-1.14.2 http_auth_request_module nginx-ldap-auth python2.7 python-ldap Nginx支持ldap 部署nginx,注意需要http_auth_request_module支...
elasticsearch-对接ldap认证
多年互联网一线运维开发经验,为多家企业独立开发过相关运维管理平台,负责过近千台服务器运维管理工作,对运维及运维开发岗位有深入理解。
03-26 1503
单节点es部署完成后,接入ldap
spring boot集成ldap
01-22
项目中使用spring boot框架集成ldap协议的方法,调用了增删改查的API,基本实现了spring boot对于ldap的所有方法,只要搭建好了ldap服务器,改一下配置文件即可运行。
ldap+gerrit+gitweb集成化安装部署
04-06
本文档详细介绍了如何在linux系统下安装ldap、gerrit、gitweb的安装流程。还包括gerrit的ldap认证配置,gerrit+gitweb集成化安装部署流程。
大数据组件集成LDAP
11-12
大数据组件集成LDAP的安装手册,可以快速搭建大数据安全服务。
sonarqube安装与ldap集成
07-13
sonarqube 安装与配置+sonar scanner+ mysql+ldap+jenkins
redap:HTTP到LDAP
04-30
__ ________ ____/ /___ _____ / ___/ _ \/ __ / __ `/ __ \ / / / __/ /_/ / /_/ / /_/ //_/ \___/\__,_/\__,_/ .___/ HTTP/LDAP Gateway /_/添加LDAP支持可能非常耗时,繁琐且复杂,但并非必须如此。 Redap是易于...
glauth-ui:用pythonflask创建的Glauth管理ui
04-01
glauth-ui Glauth-UI是我创建的用于管理最小的的小型 Web应用程序。 我创建此文件是因为我想在家庭和工作中的多个服务中使用glauth进行身份验证,但是由于它是只读的,因此用户无法配置自己的密码。 因为我知道一些python并想学习flask,所以我认为我创建了一个小的webapp来充当glauth的管理ui。 应该将其视为概念的证明,并且由于我还没有使用某些glauth功能,因此尚未实现。 可能有很多错误,如果您正在使用它,则应将使用范围限制为仅本地络。 当前功能: 将数据(Glauth设置,用户,组)存储在SQL DB中(支持Sqlite,MySQL,PostgreSQL) 对数据库的每次更改都会生成与glauth兼容的config.cfg文件 最终用户的小型用户界面,可更改其密码,名称和电子邮件或重置密码(如果忘记了)。 管理员界面,用于管理设置以及
ES安全 -LDAP 接入方法
陈洪杰的博客
09-24 2295
注意:该项功能需要license Ldap测试命令 ldapsearch-x-D"cn=username,ou=people,dc=example,dc=com"-wpassword-b"dc=example,dc=com"-p389-hldap.example.com elasticsearch.yml 修改 order 数值越小越优先, ES7.X版本文档的配置项稍有不同,下面这个是6.X的配置,应该是兼容的 xpack: securi...
Kibana登录认证设置
weixin_33720452的博客
09-28 1125
Kibana从5.5开始不提供认证功能,想用官方的认证,X-Pack,收费滴 。 所以就自己动手吧,用nginx的代理功能了。 1、安装Nginx: [root@ELK /]# yum -y install nginx 2、安装Apache密码生产工具: [root@ELK /]# yum install httpd-tools 3、生成密码文件:   [...
ELK菜鸟手记 (三) - X-Pack权限控制之给Kibana加上登录控制以及index_not_found_exception问题解决...
weixin_34008805的博客
04-29 412
0. 背景 我们在使用ELK进行日志记录的时候,通过址在Kibana中查看我们的应用程序(eg: Java Web)记录的日志, 但是默认是任何客户端都可以访问Kibana的, 这样就会造成很不安全,我们应该设置相应的用户名和密码, 只有通过登录用户名和密码才能通过Kibana查看我们的日志。 1. 在elasticsearch 2.x的版本是...
[Kibana]如何支持携带身份信息的请求到Elasticsearch服务器
qq_24129617的博客
01-30 1308
在上一篇文章里面,我们已经为Kibana服务器添加了带有表单验证的安全措施,作为下一环节,我们需要把用户验证的安全信息传递给ES服务器,以为后续基于ES上开发 RBAC(基于角色的访问控制)和IP ACL安全过滤系统打下基础。对于ELK整体安全解决方案个人总结下来有以下几类: X-PACK(SHIELD) 官方出品,可以保护Kibana,ES,以及Logstash的验证。控制颗粒可以达到Node,
kibana平台增加安全认证
weixin_33888907的博客
09-11 1136
搭建完ELK平台后,发现kibana没有登录的认证,直接访问就能进去,刚才开始用x-pack插件来加强安全,发现是要收费的还是老老实实用nginx来转发比较实在增加kibana的登录安全认证:这里我在安装之前把5601的端口给绑定在了本地上,让其他机器无法访问,别把5601绑定在了其他ip上,然后在用80转,安装nginx这里我的nginx配置文件如下:worker_proc...
Kibana采用nginx做登陆认证
seeker的博客
05-04 3368
Kibana采用nginx做登陆认证 背景 kibana默认是没有用户名密码的,想用官方的认证,x-pack,收费的 方案:用nginx的代理功能做登陆认证 安装nginx(略) 安装Apache密码生产工具: yum install httpd-tools 生成密码文件: mkdir -p /usr/local/test/passwd cd /usr/local/t...
【Elasticsearch】极限 INFINI Gateway 初体验
九师兄
06-25 1292
1.概述 转载:https://elasticsearch.cn/article/14173 最近在elasticsearch中文社区看到medcl大神写的一篇文章《Elasticsearch 极限测试版本发布》,在es外层接了一个极限gateway,所有的请求先走,再到es。gateway能提供索引级别的限速限流,降低重复请求,缓存常见查询,起到查询加速的效果等等很多特性。看着很强大的样子,赶紧下载体验了一下。 下载 下载地址:https://github.com/medcl/infini-.
怎么使用ldap集成两个系统的权限
06-08
使用LDAP集成两个系统的权限,一般需要以下步骤: 1. 配置LDAP服务器:在LDAP服务器上创建用户和组织结构,并设置相应的权限。 2. 在两个系统中配置LDAP认证:在两个系统中配置LDAP连接信息,如LDAP服务器地址、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值