ES安全 -LDAP 接入方法

最新推荐文章于 2024-04-25 22:19:24 发布
最新推荐文章于 2024-04-25 22:19:24 发布
阅读量2.3k 收藏
点赞数
分类专栏: elasticsearch 文章标签: elasticsearch ldap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18895659/article/details/108770900
版权

注意:该项功能需要license

 

Ldap测试命令

ldapsearch -x -D "cn=username, ou=people, dc=example, dc=com" -w password -b "dc=example,dc=com" -p 389 -h ldap.example.com

 

elasticsearch.yml 修改

     order 数值越小越优先, ES7.X版本文档的配置项稍有不同,下面这个是6.X的配置,应该是兼容的

xpack:
  security:
    authc:
      realms:
        ldap1:
          type: ldap
          order: 0
          url: "ldap://ldap.example.com:389"
          bind_dn: "cn=username, ou=people, dc=example, dc=com"
          bind_password: password
          user_search:
            base_dn: "dc=example,dc=com"
            filter: "uid={0}"
          unmapped_groups_as_roles: false
        native1:
          type: native
          order: 1

 

必须每个节点都这么设置,然后重启节点

角色与权限配置

访问 kibana -> management -> roles

点击 create role 创建角色

按说明配置角色相关权限

配置完成后点击 save 保存。

用户角色绑定

LDAP 用户目前不支持通过 UI 界面配置,需要使用 API 来管理

详情请参考:

https://www.elastic.co/guide/en/elasticsearch/reference/6 api-put-role-mapping.html

访问 kibana -> dev tools 界面,使用下一 API 创建用户角色关联:

POST security/role_mapping/<role_mapping_name>
{
  "roles": [
    "test" //这里填写需要绑定的角色名,例如上面我们创建的test角色q
  ],
  "enabled": true,
  "rules": {
    "any": [
      {
        "field": {
          "username": [
            "esadmin" //这里填写需要绑定的ldap用户名
          ]
        }
      },
      {
        "field": {
          "groups": "cn=admins,dc=example,dc=com" //也可以把角色绑定到ldap用户组上
        }
      }
    ]
  }
}

AngusC·
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
同步LDAP数据到ElasticSearch
weixin_43437629的博客
05-05 668
背景 、需求 在有数十万,甚至上百万的账号有AD(LDAP)中,通过某个字段匹配出符合要求对象的耗时是难以忍受的,作者在100w+的AD账号中搜索电话号码(AD中未加索引),耗时超过10min。有同学可能会提到说,可以对这些字段加索引就能解决,事实上是不可能的,索引本身会带来大量的磁盘消耗,如果对memberof这样的长字符串加索引更加不现实。于是作者实现将AD(LDAP)对象同步到elastic...
Elasticsearch数据接入
qq_27639777的博客
06-25 3257
文章目录简介LogStash接入ES-Hadoop接入重要配置批处理导入流数据写入Dstream to ESStructured Streaming to ES几个注意事项主键设置写入冲突Exactly OnceES写入性能 简介 Elasticsearch是一个分布式、RESTful风格的搜索和数据分析引擎,可以对大量数据进行快速的搜索和聚合分析。同时它能够水平扩展,每秒钟可处理海量事件,同时能...
kibana-auth-proxy:Kibana的forwardAuth代理为ldap提供集成
03-04
kibana-auth-proxy 旨在用作Authelia的forwardAuth代理(可能还进行了其他测试,例如nginx,未经测试),以便使用LDAP / Active Directory在Elasticsearch中进行用户访问而无需付费订阅。 请求去特拉菲克 Traefik将其代理给Authelia以验证用户 如果它从Authelia接收到200转发报头到第二个auth-> kibana-auth-proxy kibana-proxy-auth: 为本地Kibana用户生成随机密码(与LDAP密码无关) 使用来自Authelia标头的信息在配置文件中创建/更新Kibana + AD组/ kibana角色映射中的本地用户 生成并传递回Traefik标头: Authorization: Basic XXXYYYZZZZ Traefik将用户通过Authorization标头
Golang对接Ldap(保姆级教程:概念&搭建&实战)
最新发布
weixin_45565886的博客
04-25 1731
Golang对接Ldap(保姆级教程:概念&搭建&实战)
java中es如何过ldap认证,ldap认证(按照上一篇ldap认证步骤编程)
weixin_35318150的博客
03-11 172
package com.test.ldap;import java.util.Hashtable;import javax.naming.AuthenticationException;import javax.naming.Context;import javax.naming.NamingEnumeration;import javax.naming.NamingException;impor...
tengine(nginx)开启openldap用户认证
完颜振江
01-24 254
1、安装依赖。 #yum -y install openldap-devel #yum install pcre pcre-devel -y #yum -y install openssl openssl-devel #yum groupinstall "Development Tools" -y 2、下载nginx-auth-ldap模块。 #yum -y install git #cd /soft/ #git clone https://github.com/kvspb/nginx-auth-
Nginx 结合Python Ldap认证用于Kibana权限登陆
weixin_34067049的博客
12-24 1029
参考及依赖 https://github.com/nginxinc/nginx-ldap-auth http://nginx.org/ nginx-1.14.2 http_auth_request_module nginx-ldap-auth python2.7 python-ldap Nginx支持ldap 部署nginx,注意需要http_auth_request_module支...
verdaccio-ldap:verdaccio的LDAP身份验证插件
02-03
verdaccio-ldap是一个叉sinopia-ldap 。 它的目的是保持与sinopia向后兼容性,同时保持npm的变化。 安装 $ npm install verdaccio $ npm install verdaccio-ldap 在verdaccio-LDAP插件+ OpenLDAP服务器装在泊坞窗...
详解Django-auth-ldap 配置方法
12-24
公司内部使用Django作为后端服务框架的Web服务,当需要使用公司内部搭建的Ldap 或者 Windows 的AD服务器作为Web登录认证系统时,就需要这个Django-auth-ldap第三方插件 插件介绍 Django-auth-ldap是一个Django身份...
flarum-ext-auth-ldap:Flarum的LDAP身份验证扩展,这是一个用于建立社区的简单论坛软件
04-28
Flarum LDAP认证此扩展使用户可以通过LDAP登录 。如何安装composer require tituspijean/flarum-ext-auth-ldap并在Flarum的管理面板中将其激活。语言能力该扩展名已翻译成法文和英文。配置 LDAP server name :在...
flask-ldap3-login:FlaskFlask登录的LDAP3登录
02-05
Flask-LDAP3-Login是一个用于Flask应用的扩展,它提供了一种简单的方法集成 Lightweight Directory Access Protocol (LDAP) 身份验证。这个扩展使得在Python Flask web框架中使用LDAP服务器进行用户登录变得容易,...
腾讯云ES:一键配置,LDAP身份验证服务来了!
cloudbigdata的博客
06-23 171
轻量目录访问协议LDAP(英文:Lightweight Directory Access Protocol),是一个运行在 TCP/IP 上的目录访问协议,您可通过集成ESLDAP身份验证,实现统一的认证管理。本文介绍如何基于腾讯云Elasticsearch Service配置轻量目录访问协议LDAP认证,以实现相应角色的LDAP用户访问腾讯云Elasticsearch...
elasticsearch-对接ldap认证
多年互联网一线运维开发经验,为多家企业独立开发过相关运维管理平台,负责过近千台服务器运维管理工作,对运维及运维开发岗位有深入理解。
03-26 1520
单节点es部署完成后,接入ldap
ldap服务器用户组权限,ElasticSearch结合LDAP实现权限、用户管控
weixin_39696197的博客
07-30 958
项目背景使用ElasticSearch实现数据宽表,处理热交互数据,需要实现权限管控等功能,权限粒度要求精确到列。最初考虑使用Es的SearchGuard开源插件,发现SearchGuard的LDAP功能需要使用企业版,收费的,并且权限粒度仅支持到索引和type,并不支持列;后来采用Es提供的xpack插件,想办法处理下,就不收费了。Es需要安装xpack插件,配置默认用户,修改elastic用户...
ES部署使用及java接入手册
LaughingBi的博客
03-01 2812
通过ElasticSearch搜索。
ES的API使用
weixin_34270606的博客
11-26 782
一 概述 最近做Elasticsearch优化,需要调整节点参数,重启,查看是否生效。线下测试集群一般使用head插件,方便。但head插件需要其所在节点能正常提供服务,且客户端浏览器网络可达。这种约束不适合线上运维,最直接方式还是使用Elasticsearch提供的Rest API,通过curl 在某个节点上直接查看。 本文从《Elastic...
Security——Spring LDAP
十年梦归尘的专栏
12-08 521
Spring LDAP
如何使用极限网关无缝集成 LDAP 的介绍
infinilabs的博客
05-15 329
本文目的为例验证极限网关和 ldap 之间的集成功能:直接访问网关,走 ldap 验证 kibana 连接网关,走 ldap 验证 最近公司对 Elasticsearch 集群安全抓的紧了,免费的用户名密码固然是好,但还是免不了得给不同的部门、应用创建账户,不想搞。直接 LDAP 不完了吗?难道没有别的方案了吗?一圈打听下来,还真有。
ELK LDAP认证
yuezhilangniao的博客
01-09 940
# 使用破解 xpack https://www.jianshu.com/p/7154e80490ad # 使用企业版本 授权SearchGuard 插件 https://blog.csdn.net/qq_18895659/article/details/108770900 # 使用nginx https://www.jianshu.com/p/11538ed7446e?from=timeline&isappinstalled=0 # es nginx http...
python-ldap
08-08
Python-ldap 提供了一组简单易用的函数和方法,使开发人员能够连接到 LDAP 服务器并执行各种操作,例如搜索、添加、修改和删除条目。它支持常见的 LDAP 操作,如绑定、匿名绑定、身份验证和 SSL/TLS 连接。 要使用 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值