[zeppelin] 支持多组LdapRealm登录

最新推荐文章于 2021-04-02 17:38:26 发布
最新推荐文章于 2021-04-02 17:38:26 发布
阅读量1.1k 收藏
点赞数
分类专栏: 大数据 文章标签: 大数据 zeppelin集成
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xvshu/article/details/106017724
版权

需求:

zeppelin(v:0.8.0) 目前接入了单个邮箱的Ldap验证,公司资源整合之后,需要支持多个邮箱Ldap验证,经研究发现,zeppelin使用的是shiro进行权限验证,shiro配置是支持多组Realm验证,配置上筛选器就可以。

shiro 多Realm

配置解析

zeppelindir/conf/shiro.ini 为zepplin中shiro 配置路径

  • 简单示例:
用户
[users]
#用户zhang的密码是123,此用户具有role1和role2两个角色
zhang=123,role1,role2
wang=123,role2 
#权限
[roles]
#角色role1对资源user拥有create、update权限
role1=user:create,user:update
#角色role2对资源user拥有create、delete权限
role2=user:create,user:delete
#角色role3对资源user拥有create权限
role3=user:create
  • ini配置中主要配置有四大类:main,users,roles,urls
[main]
#提供了对根对象 securityManager 及其依赖的配置
securityManager=org.apache.shiro.mgt.DefaultSecurityManager
…………
securityManager.realms=$jdbcRealm
 
[users]
#提供了对用户/密码及其角色的配置,用户名=密码,角色 1,角色 2
username=password,role1,role2
 
 
[roles]
#提供了角色及权限之间关系的配置,角色=权限 1,权限 2
role1=permission1,permission2
 
 
[urls]
#用于 web,提供了对 web url 拦截相关的配置,url=拦截器[参数],拦截器
/index.html = anon
/admin/** = authc, roles[admin], perms["permission1"]

main主要配置shiro的一些对象,例如securityManager ,Realm,authenticator,authcStrategy 等等,例如

[main]
#声明一个realm  
MyRealm1=com.shiro.mutilrealm.MyRealm1
MyRealm2=com.shiro.mutilrealm.MyRealm2
 
#配置验证器
authenticator = org.apache.shiro.authc.pam.ModularRealmAuthenticator
 
# AllSuccessfulStrategy 表示 MyRealm1和MyRealm2 认证都通过才算通过
#配置策略
#authcStrategy = org.apache.shiro.authc.pam.AllSuccessfulStrategy
authcStrategy = com.shiro.authenticationstrategy.MyAuthenticationStrategy
 
 
#将验证器和策略关联起来
authenticator.authenticationStrategy = $authcStrategy
 
 
#配置验证器所使用的Realm
authenticator.realms=$MyRealm2,$MyRealm1
 
#把Authenticator设置给securityManager
securityManager.authenticator = $authenticator

在这里我们就找到了想要的

配置多Ldap Realm

示例:

[main]
### @ucarinc.com Ldap Realm
ucarRealm = org.apache.shiro.realm.activedirectory.ActiveDirectoryRealm
ucarRealm.systemUsername = ucarinc\ldapZeppelin

#use either systemPassword or hadoopSecurityCredentialPath, more details in http://zeppelin.apache.org/docs/latest/security/shiroauthentication.html
ucarRealm.systemPassword = abcd.1234
ucarRealm.searchBase = OU=总部集团,OU=神州优车集团,DC=ucarinc,DC=com
ucarRealm.url = ldap://10.100.20.26:389
ucarRealm.groupRolesMap = "CN=tech_plat_zeppelin_admin,OU=group,OU=邮件组,DC=ucarinc,DC=com":"admin"

### @test1.com Ldap Realm 
zucheRealm = org.apache.shiro.realm.activedirectory.ActiveDirectoryRealm
zucheRealm.systemUsername = test1@admin.com
zucheRealm.systemPassword = test1PED
zucheRealm.searchBase = ou=Test1,dc=test1,dc=com
zucheRealm.url = ldap://test1host:test1port
zucheRealm.groupRolesMap = "CN=admin,OU=group,DC=test1,DC=com":"admin"

### @test1.com Ldap Realm 
test1Realm = org.apache.shiro.realm.activedirectory.ActiveDirectoryRealm
test1Realm.systemUsername = test1@admin.com
test1Realm.systemPassword = test1PED
test1Realm.searchBase = ou=Test1,dc=test1,dc=com
test1Realm.url = ldap://test1host:test1port
test1Realm.groupRolesMap = "CN=admin,OU=group,DC=test1,DC=com":"admin"

### @test2.com Ldap Realm 
test2Realm = org.apache.shiro.realm.activedirectory.ActiveDirectoryRealm
test2Realm.systemUsername = test2@admin.com
test2Realm.systemPassword = test2PED
test2Realm.searchBase = ou=Test2,dc=test2,dc=com
test2Realm.url = ldap://test2host:test2port
test2Realm.groupRolesMap = "CN=admin,OU=group,DC=test2,DC=com":"admin"
#配置验证器
ucarauthenticator = org.apache.shiro.authc.pam.ModularRealmAuthenticator

#配置验证器所使用的Realm
ucarauthenticator.realms=$test1Realm,$test2Realm

#配置策略
ucarauthcStrategy = org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy

#将验证器和策略关联起来
ucarauthenticator.authenticationStrategy = $ucarauthcStrategy

 
#把Authenticator设置给securityManager
securityManager.authenticator = $ucarauthenticator

bug 解决

部署zeppelin 发现,在登录时不对,有错误发生,经排查发现在SecurityUtils.getRoles();

SecurityUtils.getRoles

经查询发现,是没有捕获找不到ldaprole错误导致:
SecurityUtils

改成如下:

public static HashSet<String> getRoles() {
    if (!isEnabled) {
      return EMPTY_HASHSET;
    }
    Subject subject = org.apache.shiro.SecurityUtils.getSubject();
    HashSet<String> roles = new HashSet<>();
    Map allRoles = null;

    try {
      if (subject.isAuthenticated()) {
        Collection realmsList = SecurityUtils.getRealmsList();
        for (Iterator<Realm> iterator = realmsList.iterator(); iterator.hasNext(); ) {
          Realm realm = iterator.next();
          String name = realm.getClass().getName();
          if (name.equals("org.apache.shiro.realm.text.IniRealm")) {
            allRoles = ((IniRealm) realm).getIni().get("roles");
            break;
          } else if (name.equals("org.apache.zeppelin.realm.LdapRealm")) {
            try {
              AuthorizationInfo auth = ((LdapRealm) realm).queryForAuthorizationInfo(
                      new SimplePrincipalCollection(subject.getPrincipal(), realm.getName()),
                      ((LdapRealm) realm).getContextFactory()
              );
              if (auth != null) {
                roles = new HashSet<>(auth.getRoles());
              }
            } catch (NamingException e) {
              log.error("Can't fetch roles", e);
            }
            break;
          } else if (name.equals("org.apache.zeppelin.realm.ActiveDirectoryGroupRealm")) {
            allRoles = ((ActiveDirectoryGroupRealm) realm).getListRoles();
            break;
          }
        }
        if (allRoles != null) {
          Iterator it = allRoles.entrySet().iterator();
          while (it.hasNext()) {
            Map.Entry pair = (Map.Entry) it.next();
            if (subject.hasRole((String) pair.getKey())) {
              roles.add((String) pair.getKey());
            }
          }
        }
      }
    } catch (Exception ex){
      log.error("getRoles error: " , ex);
    }
    return roles;
  }

部署成功!

ESOO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
realm支持LDAP
weixin_43515983的博客
11-04 332
realm支持LDAP
zeppelin使用shiro进行权限验证
BruceBupt的博客
06-03 2221
zeppelin使用shiro进行权限控制,默认情况下是anonymous,即不用登录即可使用。如果要增加登录验证,可以按照下列步骤操作。修改配置后需要重启才能生效。 cd ${zeppelin} ./bin/zeppelin-daemon.sh restart 1.禁止匿名访问 如果没有conf/zeppelin-site.xml,那么执行 cd $(zeppelin)/conf c...
zeppelin-0.9.0 源码安装, 连接odps,ldap认证
菜鸟成长记
06-01 2076
文章目录前言部署环境和版本部署准备环境配置下载源码源码修改1、maven 修改为阿里的镜像2、下载apache 相关包比较慢,替换成国内源编译打包全部打包部分编译启动Zeppelin添加配置文件启动查看log遇到问题npm 报错 128npm 报错 137root 安装 web-server 报错启动之后 logs 有报错 zeppelin-web-angularzeppelin 连接 阿里云 MaxCompute(ODPS)1、下载 ODPS JDBC的jar包2、配置odps interpreter
Zeppelin-0.9.0同步Apache DS LDAP 方案
EdwardWang_的博客
04-02 454
目录 序: 一、Zeppelin0.9.0的安装 二、Apache DS Ldap的安装 三、Zeppelin集成ApacheDS LDAP 1、ApacheDS LDAP部分操作 (1)创建新的partition (2)创建用户和用户组,准备做zeppelin的映射 2、Zeppelin相关配置 序: 最近在工作遇到了Zeppelin要同步Ranger的需求,由于项目LDAP组件,省去了改源码做shiro集成ranger的麻烦。项目内部使用的ApacheDS Ldap,在Z.
Zeppelin集成LDAP的部署和实践
DataFlow范式
04-16 3880
环境信息:Zeppelin版本:0.7.0Kylin版本:1.6.0 Zeppelin部署:1.      修改$ZEPPELIN_HOME/conf/shiro.ini文件,配置Zeppelin集成LDAP:### A sample for configuring LDAP DirectoryRealmldapRealm = org.apache.zeppelin.realm.LdapGroup
Zeppelin原理简介
01-27
Zeppelin是一个基于Web的notebook,提供交互数据分析和可视化。后台支持接入多种数据处理引擎,如spark,hive等。支持多种语言: Scala(ApacheSpark)、Python(ApacheSpark)、SparkSQL、 Hive、Markdown、Shell等。...
Zeppelin架构原理分析
02-24
首先上一张官方给出的Zeppelin整体架构图ApacheZeppelin的架构比较简单直观,总共分为3层:1.Zeppelin前端2.ZeppelinServer3.ZeppelinInterpreterZeppelin前端是基于AngularJS(目前社区正在升级改造前端,但是对...
Zeppelin源码分析—Zeppelin的设计思想
01-27
ApacheZeppelin是一个基于Web的交互式数据分析开源框架,提供了数据分析、数据可视化等功能。支持多种语言,包括Scala、Python...官方支持的执行引擎用一幅图描述如下:Zeppelin这种支持多语言解释器的设计理念,核心价
虚拟机zeppelin安装
最新发布
10-18
虚拟机zeppelin安装
shiro讲解之 Realm
Dusty丶one的博客
10-28 758
shiro讲解之 Realm本章节我们将详细讲解一下Shiro的 Realm。概念 官方文档As mentioned above, Realms act as the ‘bridge’ or ‘connector’ between Shiro and your application’s security data. When it comes time to actually interact w
使用Apache Shiro进行身份认证-LDAP认证
Larry的博客
06-28 5838
http://blog.csdn.net/peterwanghao/article/details/7458618 Apache Shiro 支持LDAP做为数据源进行身份认证。我做了一个简单的实验来说明Shiro是如何支持LDAP的。 在本机安装了OpenLDAP,版本为2.4.23。手动建了一个用户,结构如下: 在Shiro.ini文件配置LDAP
使用 LDAP + Kerberos 实现集用户认证及授权系统
热门推荐
chengfangang的专栏
10-16 2万+
认证体系一般包含账号,认证,授权,审计这些部分组成。本文简述如何基于 LDAP和Kerberos 实现集的账号,认证及授权系统。选择的软件分别为OpenLDAP 和 Kerberos。 LDAP 用来做账号管理,Kerberos作为认证。授权一般来说是由应用来决定的,通过在LDAP 数据库配置一些属性可以让应用程序来进行授权判断。 软件的安装参考相应的发行版本即可,在此不再赘述。下面的配
Apache Zeppelin 的 shiro.ini 简单配置说明
rav009的专栏
02-10 860
shiro 本身也是一个apache项目。 shiro.ini 位于 Zeppelin 的 conf 文件夹下。 [users]segment 配置用户名密码和role [roles] segment 配置roles 如果shiro 和 LDAP或者window AD有关联,可以在roles里填组名,如果没有,就是 “rolename = *” [urls] segment...
使用Apache Shiro进行身份认证-LDAP两次绑定认证
tempsitegoogle
04-23 400
通常在根据LDAP进行身份验证时会采取以下三种方法: 1、利用一个LDAP用户的用户名和密码绑定到LDAP服务器。 2、在LDAP检索一个用户的条目,然后将提供的密码和检索到的LDAP记录的密码属性相比较。 3、“两次绑定”验证方法。 基于LDAP进行身份验证,最好也是最通用的方法就是 “两次绑定”。这种方法的步骤以及优点可参看我的另一篇博客:基于LDAP进行验证-方法和问题 当前S...
zeppelin集成openldap,以及admin用户设置
帆了个帆的专栏
09-05 2307
之前写过一篇文章集成FreeIPA,今天尝试集成OpenLdap,出现了一些问题,这里记录下配置过程 修改zeppelin-site.xml <property> <name>zeppelin.anonymous.allowed</name> <value>false</value> <description>An...
apache zeppelin
08-19
此外,Zeppelin支持多用户和多团队的协作,用户可以共享和讨论分析结果,提高团队的协作效率。 总之,Apache Zeppelin是一个强大的数据分析和可视化工具,它提供了丰富的功能和易用的界面,帮助用户更好地理解和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值