ldap服务器用户组权限,ElasticSearch结合LDAP实现权限、用户管控

最新推荐文章于 2022-11-14 16:28:48 发布
最新推荐文章于 2022-11-14 16:28:48 发布
阅读量1k 收藏
点赞数
文章标签: ldap服务器用户组权限
本文介绍了如何在ElasticSearch中结合LDAP实现列级别的权限管控。由于SearchGuard的LDAP功能需要付费,作者选择了使用xpack插件,并详细阐述了配置过程,包括ElasticSearch和Kibana的配置、LDAP用户与角色的映射,以及如何通过API创建和管理角色,以限制用户对特定列的访问权限。
摘要由CSDN通过智能技术生成

项目背景

使用ElasticSearch实现数据宽表,处理热交互数据,需要实现权限管控等功能,权限粒度要求精确到列。

最初考虑使用Es的SearchGuard开源插件,发现SearchGuard的LDAP功能需要使用企业版,收费的,并且权限粒度仅支持到索引和type,并不支持列;

后来采用Es提供的xpack插件,想办法处理下,就不收费了。

Es需要安装xpack插件,配置默认用户,修改elastic用户的密码为elastic,后续使用简单点

注意,本文只记录ElasticSearch结合LDAP和内置角色,实现列级别的权限管控,不管SSL和TLS加密传输

ElasticSearch、Kibana配置

/conf/elasticsearch.yml中这么添加

xpack.security.enabled: true

xpack:

security:

authc:

realms:

ldap1:

type: ldap

order: 0

url: "ldap://192.168.13.12"

bind_dn: "cn=root,dc=intelli706,dc=com" #ldap管理账户dn

bind_password: 123456 #ldap管理账户密码

user_search:

base_dn: "dc=intelli706,dc=com" #在这个目录树里面检索用户信息

attribute: uid

group_search:

base_dn: "dc=intelli706,dc=com" # 在这个目录树里面检索组信息

files:

# 下面这个是通过文件方式配置的LDAP用户域和Es内置角色的映射关系

role_mapping: "D:\\elasticsearch\\es-xpack\\esnew\\elasticsearch-6.8.0\\config\\role_mapping.yml"

unmapped_groups_as_roles: false

role_mapping.yml,可配置可不配,就放这里参考下,一般通过api配置映射关系

# Role mapping configuration file which has elasticsearch roles as keys

# that map to one or more user or group distinguished names

#roleA: this is an elasticsearch role

# - groupA-DN this is a group distinguished name

# - groupB-DN

# - user1-DN this is the full user distinguished name

#power_user:

# - "cn=admins,dc=example,dc=com"

#user:

# - "cn=users,dc=example,dc=com"

# - "cn=admins,dc=example,dc=com"

# - "cn=John Doe,cn=other users,dc=example,dc=com"

superuser:

- "cn=admin,ou=person,dc=intelli706,dc=com"

- "cn=zhangyan,ou=person,dc=intelli706,dc=com"

/conf/kibana.yml配置,主要添加了es的用户名密码

elasticsearch.username: "elastic"

elasticsearch.password: "elastic"

再启动ES和kibana后,就需要输入用户名密码才能登陆和访问ES中数据了

LDAP

搭建过程省略;

创建dn时,使用的objectClass是inetOrgPerson

rdn设置为cn=admin, sn=admin, uid=admin, userPassword=admin

使用LDAP Admin windows客户端,连接LDAP服务器,添加组(ou),和模拟用户(cn=admin),生成的dn为 cn=admin,ou=person,dc=intelli,dc=com,简单说明

最低0.47元/天 解锁文章
weixin_39696197
关注
MQ - 25 RabbitMQ集群架构设计与实现
小工匠
09-23 7380
在集群构建方面,RabbitMQ 通过 Erlang 自带的分布式数据库 Mnesia 来实现元数据信息的存储。通过插件的形式支持多种节点发现机制,主要包括固定配置发现、类广播机制发现、第三方组件发现、手动管理四种类型。集群构建完成后,RabbitMQ 通过副本机制、镜像队列或仲裁队列来实现数据的一致性和可靠存储。镜像队列因为本身的一些架构缺陷,会逐步被仲裁队列替换。仲裁队列是基于 Raft 算法来实现的,写入的可靠性遵循多数原则,即只要多数节点写入成功就可以。
开源数据平台构建:从0到1搭建企业级数据平台系统
最新发布
AI天才研究院
08-08 1838
数据平台作为业务数据的重要基础设施,其提供的数据服务和分析能力已成为公司各部门协同工作、高效沟通、提升工作效率的关键。然而,由于不同行业领域需求的差异性、不同数据规模和复杂度等多种因素的影响,制造出具有高质量、低延迟、易扩展、可靠、安全、易用的数据平台也面临着巨大的挑战。近年来,随着云计算、容器技术和微服务架构的普及,基于开源解决方案构建数据平台这一需求越来越受到社会的广泛关注,数据平台构建成本越来越低,市场竞争日益激烈。
ldap管理linux用户,ldap服务器用户权限管理控制linux操作系统 -电脑资料
weixin_35866747的博客
04-30 1953
ldap服务器可能使用的用户比较少,但自己就要去用在百度找了N久没找到什么可用的内容,就只在看英文了,下面我来给大家介绍ldap服务器用户权限管理控制,希望此文章对大家有帮助,openldap默认的账户是cn=Manager,dc=361way,dc=com这样的一个账户 ,其写在配置文件/etc/openldap/slapd.conf文件中,但这样的一个账户就像linux下的root一样,虽然...
LDAP 管理用户(组)
热门推荐
关注微信公众号「Coding我不配」
08-27 1万+
LDAP 管理用户(组)LDAP实现提供被称为目录服务的信息服务,可以看做是一张特殊的数据库系统。可以有效的解决众多网络服务的用户账户问题,规定了统一的身份信息数据库、身份认证机制和接口,实现了资源和信息的统一管理,保证了数据的一致性和完整性。
Security——Spring LDAP
十年梦归尘的专栏
12-08 547
Spring LDAP
LDAP系列三用户权限控制
xyy511的专栏
05-24 9784
二:权限控制 8.1:访问控制 访问控制主要是通过在slapd.conf文件中配置来实现,具体配置解析如下: # Sample Access Control # Allow read access of root DSE # Allow self write access # Allow authenticated users read access #...
权限和归属 、 使用LDAP认证 、 家目录漫游
denf76097的博客
04-26 250
权限和归属 、 使用LDAP认证 、 家目录漫游】 基本权限的类别访问方式(权限) 读取:允许查看内容-read r 写入:允许修改内容-write w 执行:允许运行和切换-execute x 对于文本文件 r: cat head tail less w: vim 可以保存 x: ./ 可以运行 对于目录 r 权限:能够 ls 浏览此目录内容 w 权限:能够...
尚硅谷 Linux网络服务&数据库 笔记
LiuKairui的博客
04-08 4731
目录网络基础服务CentOS6与CentOS7区别常见的网络协议与端口网关和路由网络管理命令SSH管理TCP Wrappers 简单防火墙DHCP服务DHCP的工作原理DHCP服务搭建DNS服务域名的组成与分类域名解析过程DNS实验VSFTP服务VSFTP服务概述登录验证方式使用FTP普通实验openSSL+vsftp加密验证SAMBA服务Samba概述登录验证模式基本使用实验NFS服务NFS挂载原理实验LAMP平台环境搭建Apache启动方式工作模式文件位置配置文件Apache目录别名实验Apache用户
一款OLAP数据库ClickHouse
weixin_43805705的博客
10-13 1593
基于3W1H原则,讲解ClickHouse,以便于后续开发实践。
ElasticSearchLDAP的安装和安全认证
ck978105293的博客
09-01 2256
文章目录一、使用Docker安装ES和Kibana1.创建网络2.安装ES3.安装Kibana4.汉化Kibana二、使用Docker安装openLDAP和phpldapadmin1.安装openLDAP2.安装phpldapadmin3.验证是否安装成功三、破解ES XPack1.将复制到自己机器上2.使用反编译工具luyten打开(其他的应该也行)3.将编辑好的文件传回docker容器里4.进入ES容器5.申请License6.加载License四、ES与LDAP的认证1.编辑elasticsearch
同步LDAP数据到ElasticSearch
weixin_43437629的博客
05-05 718
背景 、需求 在有数十万,甚至上百万的账号有AD(LDAP)中,通过某个字段匹配出符合要求对象的耗时是难以忍受的,作者在100w+的AD账号中搜索电话号码(AD中未加索引),耗时超过10min。有同学可能会提到说,可以对这些字段加索引就能解决,事实上是不可能的,索引本身会带来大量的磁盘消耗,如果对memberof这样的长字符串加索引更加不现实。于是作者实现将AD(LDAP)对象同步到elastic...
elasticsearch-对接ldap认证
多年互联网一线运维开发经验,为多家企业独立开发过相关运维管理平台,负责过近千台服务器运维管理工作,对运维及运维开发岗位有深入理解。
03-26 1637
单节点es部署完成后,接入ldap
在Tomcat中通过LDAP实现用域用户进行权限控制
FlashDragon的专栏
08-14 2105
<br />1、获得LDAP服务器上的下面的相关信息<br />connectionURL  例如: "ldap://192.168.1.2:389"<br />connectionName 例如: "CN=mock,CN=Users,DC=abc"<br />connectionPassword 例如:"Password"<br />userBase 例如: "OU=xyz,DC=abc"<br /> <br />2、修改Tomcat的Server.xml配置文件为了连接LDAP服务器<br />(1)把
elasticsearch6.0安装xpack并配置ldap认证
weixin_34138521的博客
01-10 1944
elasticsearch概念解释参考: https://segmentfault.com/a/11...elasticsearch安装可参考:https://segmentfault.com/a/11... 安装xpack扩展 下载xpack插件包: https://artifacts.elastic.co/... 通过elastic...
java中es如何过ldap认证,elasticsearch6.0安装xpack并配置ldap认证
weixin_28691441的博客
03-11 345
elasticsearch概念解释参考:https://segmentfault.com/a/11...elasticsearch安装可参考:https://segmentfault.com/a/11...安装xpack扩展下载xpack插件包: https://artifacts.elastic.co/...通过elasticsearch-plugin命令安装xpack;[[emailprot...
ES安全 -LDAP 接入方法
陈洪杰的博客
09-24 2382
注意:该项功能需要license Ldap测试命令 ldapsearch-x-D"cn=username,ou=people,dc=example,dc=com"-wpassword-b"dc=example,dc=com"-p389-hldap.example.com elasticsearch.yml 修改 order 数值越小越优先, ES7.X版本文档的配置项稍有不同,下面这个是6.X的配置,应该是兼容的 xpack: securi...
LDAP及CDH中服务的权限认证
Yore - Home
04-19 5092
主要对 LDAP 进行了介绍,重点选择 OpenLDAP进行了说明,重点是对 OpenLDAP的安装与配置进行了详细的说明。最后再将 LDAP 与 CDH 环境集成(主要以 Hive、Impala、Hue为例)。开启了LDAP 后对服务访问就需要加上用户认证,之后重点介绍了Hive、Impala的 JDBC、Beeline、脚本形式的使用,重点关注 Impala-shell 如何脚本化执行 sql 文件,最后重点注意在 Spring Boot 中访问 Impala时的几个注意点。
java中es如何过ldap认证,ldap认证(按照上一篇ldap认证步骤编程)
weixin_35318150的博客
03-11 186
package com.test.ldap;import java.util.Hashtable;import javax.naming.AuthenticationException;import javax.naming.Context;import javax.naming.NamingEnumeration;import javax.naming.NamingException;impor...
KubeSphere-2:外接ldap权限设置
Datura_qing的博客
11-14 946
KubeSphere 外接ldap权限设置
Cognos权限设置指南:利用Sun ONE LDAP实现用户管理
NTML方法简单易行,利用操作系统用户的账户来管理Cognos服务器权限,只需设置名称空间(如'NTLM'),并确保取消简单文件共享,然后以系统用户身份登录服务器。然而,安装Sun ONE LDAP时需要注意特定事项,比如确保在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值