ELK - Active Directory LDAP User Authentication

最新推荐文章于 2022-11-26 16:23:08 发布
最新推荐文章于 2022-11-26 16:23:08 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: ELK Security 文章标签: elk elasticsearch 安全 AD LDAP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prufeng/article/details/125245148
版权
ELK 同时被 2 个专栏收录
21 篇文章 0 订阅
订阅专栏
Security
13 篇文章 0 订阅
订阅专栏

Elasticsearch Active Directory踩坑记录。

Active Directory和LDAP是不同的配置

Active Directory的配置要简单的多。

关键是,AD直接是用ID(sAMAccountName)来验证,即dn='id@example.com',所见即所得。

xpack:
  security:
    authc:
      realms:
        active_directory:
          my_ad:
            order: 0 
            domain_name: example.com
            url: ldaps://ad.example.com:636

测试发现,类似如下配置,登陆时,使cn=id,但实际上,AD里的cn却根本就不是ID,而是一个描述性的名称,所以肯定验证不成功。

AD和LDAP背后的验证机制还是有些不一样。

xpack:
  security:
    authc:
      realms:
        ldap:
          ldap1:
            order: 0
            url: "ldaps://ldap.example.com:636"
            user_dn_templates:
              - "cn={0}, ou=users, o=marketing, dc=example, dc=com"
              - "cn={0}, ou=users, o=engineering, dc=example, dc=com"
            group_search:
              base_dn: "dc=example,dc=com"
            files:
              role_mapping: "/mnt/elasticsearch/group_to_role_mapping.yml"
            unmapped_groups_as_roles: false

使用bind_dnuser_search配置的话还需要绑定密码。

xpack:
  security:
    authc:
      realms:
        ldap:
          ldap1:
            order: 0
            url: "ldaps://ldap.example.com:636"
            bind_dn: "cn=ldapuser, ou=users, o=services, dc=example, dc=com"
            user_search:
              base_dn: "dc=example,dc=com"
              filter: "(cn={0})"
            group_search:
              base_dn: "dc=example,dc=com"
            files:
              role_mapping: "ES_PATH_CONF/role_mapping.yml"
            unmapped_groups_as_roles: false

Role Mapping

Role mapping主要是用来测试的,可以找到用户实际cn填进去测试。

vi role_mapping.yml

superuser:
  - "cn=users,dc=example,dc=com"

实际使用应该是保存到Elasticsearch比较多,Kibana提供了配置的页面:Stack Management -> Security -> Role Mappings

PUT /_security/role_mapping/basic_users
{
  "roles" : [ "user" ],
  "rules" : { "field" : {
    "groups" : "cn=users,dc=example,dc=com" 
  } },
  "enabled": true
}

开Debug

最有用的其实是开Debug,一开始错误信息太少,只看到简单的authenticate failed,根本就不知道到底哪里出了问题。

[2022-05-10T09:19:35,785][WARN ][o.e.x.s.a.RealmsAuthenticator] [] Authentication to realm ldap1 failed - authenticate failed (Caused by LDAPException(resultCode=49 (invalid credentials), diagnosticMessage='80090308: LdapErr: DSID-0C09044E, comment: AcceptSecurityContext error, data 52e, v2580', ldapSDKVersion=4.0.8, revision=28812))

开了TRACE以后,可以看到用户LDAP验证过程信息,包括用户组匹配之类, 按实际用户信息配置role mapping即可。

PUT /_cluster/settings 
{ 
  "transient": { 
     "logger.org.elasticsearch.xpack.security.authc.ldap":"TRACE", 
   } 
}

# Or vi elasticsearch.yml
logger.org.elasticsearch.xpack.security.authc.ldap: TRACE

ldapsearch

怀疑人生的时候,可以用其他工具试试。

ldapsearch -x -h ad.example.com -p 389 -D "testuser@example.com" -W -b "dc=example,dc=com" cn

-D binddn  bind DN
-b basedn  base dn for search
-x         Simple authentication
如锋
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK LDAP认证
yuezhilangniao的博客
01-09 945
# 使用破解 xpack https://www.jianshu.com/p/7154e80490ad # 使用企业版本 授权SearchGuard 插件 https://blog.csdn.net/qq_18895659/article/details/108770900 # 使用nginx https://www.jianshu.com/p/11538ed7446e?from=timeline&isappinstalled=0 # es nginx http...
6.Elasticsearch登录认证
王双颖的博客
06-21 2825
Elasticsearch 单节点登录认证 1.在 elasticsearch.yml 中添加如下配置 # 配置X-Pack http.cors.enabled: true http.cors.allow-origin: "*" http.cors.allow-headers: Authorization xpack.security.enabled: true xpack.security.transport.ssl.enabled: true 需要重启es 2.设置密码 cd /home/es/el
配置elasticsearch用windows account(AD)登录
我怀念的
11-26 1090
配置elasticsearch用windows account(AD)登录
elasticsearch-对接ldap认证
多年互联网一线运维开发经验,为多家企业独立开发过相关运维管理平台,负责过近千台服务器运维管理工作,对运维及运维开发岗位有深入理解。
03-26 1531
单节点es部署完成后,接入ldap
elasticserach安装的安全插件
是故事啊~关注我~
08-19 1353
elasticserach安装的安全插件 Search Guard?免费的开源的 官网:https://docs.search-guard.com/ 当涉及到Elasticsearch的简便且负担得起的安全性时,您可能会倾向于依赖基于代理的“自行拥有”安全性基础架构。本文说明了为什么这样做不是一个好主意,以及为什么不应该使用这种方法来保护生产中的敏感数据。 tl; dr:许多组织正在使用反向代理来保护其Elasticsearch基础架构。我们的观点是,代理服务器不能针对大量的广泛攻击媒介提供防御,尤其是内部
docker-elk-main.rar
05-20
docker-compose 方式部署ELK方案
docker-elk-tutorial:docker-elk-tutorial + Django +日志记录
02-04
docker-elk-教程docker-elk-教程 :memo:进阶 简介码头工人麋鹿 :red_question_mark:这是什么 :red_question_mark:他可以吃吗 :confused_face:重点在ELK ,他是由三个东西所组成的。 (E) (L) (K)基本上,整个...
bledom_controller:用于ELK-BLEDOM蓝牙LED灯带的蓝牙控制器
05-11
**bledom_controller: ELK-BLEDOM蓝牙LED灯带控制器** bledom_controller 是一个专为ELK-BLEDOM蓝牙LED灯带设计的控制器,通过使用蓝牙低功耗(Bluetooth Low Energy, BLE)技术,实现对灯带的无线控制。这款控制器...
ELK-快速入门使用
03-03
ELK是三个开源软件的缩写,分别表示:Elasticsearch,Logstash,Kibana。ELK通常用来构建日志分析平台、数据分析搜索平台等Elasticsearch是个开源分布式全文检索和数据分析平台。它的特点有:分布式,零配置,自动发现...
elk-head5.0
12-16
"elk-head5.0" 是一个针对 Elasticsearch 的可视化界面工具,主要服务于 ELK (Elasticsearch, Logstash, Kibana) 生态系统。Elasticsearch 是一个强大的分布式搜索和分析引擎,Logstash 负责数据收集、处理和转发,...
ES7 集群模式新增账号密码认证
她从小就是校花的博客
08-07 2336
elasticsearch7 中开始免费了账号密码认证功能,下面是xpack方式开启集群密码认证
ElasticSearch开启用户密码登录
qq_44392218的博客
03-31 2292
文章目录前言一、ElaticSearch1.更改配置文件2. 生成密码3.设置kibana4. 重启kibana总结 前言 本篇文章是介绍如何开启es身份认证! 一、ElaticSearch 1.更改配置文件 需要在配置文件中开启x-pack验证, 修改config目录下面的elasticsearch.yml文件,在里面添加如下内容,并重启 xpack.security.enabled: true 2. 生成密码 使用elasticsearch-setup-passwords interactive
LDAP落地实战(一):OpenLDAP部署及管理维护
ops-coffee
06-30 1万+
公司内部会有许多第三方系统或服务,例如svn,git,vpn,jira,jenkins等等,每个系统都需要维护一份账号密码以支持用户认证,当然公司也会有许多的主机或服务器,需要开放登录权限给用户登录使用,每台主机需要添加登录的账号密码,这些操作不仅繁琐且不方便管理,密码记错或遗忘的情况时有发生。 引入一套支持各系统、服务、主机单点认证的服务就显得尤其迫切和重要。LDAP服务正是为此...
elk系统通过nginx添加对kibana的登录认证
reblue520的专栏
10-12 302
elk系统添加对kibana的登录认证 关于elk系统的安装配置可以参考:Centos6.5安装Logstash ELK stack 日志管理系统及使用详解 http://blog.csdn.net/reblue520/article/details/52799274 kibana是nodejs开发的,本身并没有任何安全限制,直接浏览url就能访问,如果公网环境...
Elk实时日志分析平台5.0版本源码安装配置
热门推荐
蜷缩的蜗牛
12-08 16万+
最近有朋友老说用RPM安装ELK教程不适用,不通用;很多生产环境不联网,操作系统版本也不同;叫我弄个源码安装的教程。所以就整理一个ELK5.0版本源码安装过程,水平有限,凑合着看!! 一、配置JAVA环境变量 # mkdir /usr/local/java/ –p # cd /usr/local/java/ # tar zxvf /data/elk5.0/jdk-8u111-lin
ELK搭建之Kibana
搬砖小胖子
08-07 289
kibana服务器:172.20.100.122 1、添加yum源 vim /etc/zypp/repos.d/kibana.repo [kibana-7.x] name=Kibana repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https:/...
Security——Spring LDAP
十年梦归尘的专栏
12-08 521
Spring LDAP
ELK菜鸟手记 (三) - X-Pack权限控制之给Kibana加上登录控制以及index_not_found_exception问题解决...
weixin_34008805的博客
04-29 415
0. 背景 我们在使用ELK进行日志记录的时候,通过网址在Kibana中查看我们的应用程序(eg: Java Web)记录的日志, 但是默认是任何客户端都可以访问Kibana的, 这样就会造成很不安全,我们应该设置相应的用户名和密码, 只有通过登录用户名和密码才能通过Kibana查看我们的日志。 1. 在elasticsearch 2.x的版本是...
elasticsearch6.0安装xpack并配置ldap认证
weixin_34138521的博客
01-10 1907
elasticsearch概念解释参考: https://segmentfault.com/a/11...elasticsearch安装可参考:https://segmentfault.com/a/11... 安装xpack扩展 下载xpack插件包: https://artifacts.elastic.co/... 通过elastic...
elk-site.xml文件用途
最新发布
01-24
elk-site.xml文件是用于配置Elasticsearch、Logstash和Kibana(ELK)软件套件的配置文件。ELK套件用于实时日志分析和可视化,其中Elasticsearch用于存储和索引日志数据,Logstash用于收集、处理和转发日志数据,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值