ldap配置支持x-pack有两种格式:

1.  User Search Mode

2. User DN Templates Mode

由于第一种方式需要明文填入ldap管理员账号信息,我这边采用第二种方案 。

elasticsearch配置文件中添加以下配置:

xpack:

  security:

    authc:

      realms:

        ldap1:

          type: ldap

          order: 0

          url: "ldap://ldap.xxxxx.net:389"

          user_dn_templates:

            - "cn={0},ou=People,dc=ldap,dc=xxxxx,dc=net"

          group_search:

            base_dn: "ou=kibana,dc=ldap,dc=xxxxx,dc=net"

          files:

            role_mapping: "/etc/elasticsearch/x-pack/role_mapping.yml" #x-pack角色与ldap账户绑定文件

          cache.ttl: 3m #指定用户条目的生存时间

          unmapped_groups_as_roles: false

第一种方式配置(不推荐):

xpack:

  security:

    authc:

      realms:

        ldap1:

          type: ldap

          order: 0

          url: "ldap://ldap.xxxx.net:389"

          bind_dn: "cn=Manager,dc=ldap,dc=xxxxx,dc=net"

          bind_password: xxxxx

          user_search:

            base_dn: "ou=People,dc=ldap,dc=xxxxx,dc=net"

            attribute: cn

          group_search:

            base_dn: "ou=kibana,dc=ldap,dc=xxxxx,dc=net"

          files:

            role_mapping: "/etc/elasticsearch/x-pack/role_mapping.yml"

          cache.ttl: 3m

          unmapped_groups_as_roles: false

查看/etc/elasticsearch/x-pack/role_mapping.yml 文件内容:

logRead:  #只读,需在kibana面板上创建该角色

- "cn=kibana-software-users,ou=kibana,dc=ldap,dc=xxxxx,dc=net"

superuser: #管理员

- "cn=kibana-software-admin,ou=kibana,dc=ldap,dc=xxxxx,dc=net"

查看kibana上角色信息:

配置完成,默认 xpack 每五秒会检查一次 role_mapping 文件的变化,修改用户权限之后不需要重新加载ES。

使用ldap账号检验角色权限:curl -XGET  -uxxxx.xxx@xxx.com 'localhost:9200/_xpack/security/_authenticate?pretty'

ldap分组:

ldap集成x-pack的更多相关文章

  1. ldap集成bitbucket

    confluence ldap配置跟jira ldap集成一样,请参考:https://www.cnblogs.com/imcati/p/9378668.html 需在 Global permissi ...

  2. ldap集成jenkins

    jenkins版本:2.5.3,ldap插件:1.15 jenkins ldap支持需要安装ldap plugin,强烈建议插件安装版本为1.15及以上(支持ldap 配置测试) 安装插件: 系统管理 ...

  3. ldap集成confluence

    confluence ldap配置跟jira ldap集成一样,请参考:https://www.cnblogs.com/imcati/p/9378668.html

  4. CAS与LDAP集成

    参考文献: CAS集成ldap:https://wiki.jasig.org/display/CASUM/LDAP CAS集成restful api:https://wiki.jasig.org/di ...

  5. apache+svn+ldap集成

    apache+svn搭建方式如下:http://www.cnblogs.com/uglyliu/p/6914056.html SVN和ldap集成,我用的方式只需要更改 /etc/http/conf. ...

  6. ldap 集成harbor

    harbor: 1.6 默认配置文件在harbor.cfg,我们可以先不添加配置,直接在harbor web界面进行配置(harbor 1.6 如果db 启动失败提示postgresql 数据目录已存 ...

  7. ldap集成grafana

    grafana版本: 5.0.3 grafana通过k8s方式安装,所以需将配置文件挂载过去. cat grafana-configmap.yaml apiVersion: v1 kind: Conf ...

  8. ldap集成zabbix

    zabbix版本:3.0.7 ldap认证配置: zabbix管理员登录-->管理-->认证,选择ldap方式 参照以上格式填写,需注意配置完成后需在zabbix上创建与ldap同名账户才 ...

  9. ldap集成jira

    jira默认支持ldap,通过管理员登录jira 点击 User Management --> User Directories --> Add Directory. 进行ldap配置: ...

随机推荐

  1. MySQL数据类型--与MySQL零距离接触2-11MySQL自动编号

    MySQL自动编号,确保数据的唯一性

  2. Makefile中变量定义中末尾不能有空格

    我在Makefile中添加了 ifndef EMASSDIR EMASSDIR=$(shell emassTop.py)endif 但是emassTop.py)后面不小心加入了空格,造成出现“Make ...

  3. iOS 内存管理分析

    内存分析 静态分析(Analyze) 不运行程序, 直接检测代码中是否有潜在的内存问题(不一定百分百准确, 仅仅是提供建议) 结合实际情况来分析, 是否真的有内存问题 动态分析(Profile == ...

  4. cocos2d-js 遮挡层(禁止触摸事件传递层)

    在游戏中,我们经常会碰到一些弹窗,这些弹窗禁止点透,也就是禁止触摸事件传递到底层,我们称之为遮挡层,这些遮挡层,需要开发遮挡层,我们首先得了解cocos2d-js的触摸传递机制,本文主要针对cocos ...

  5. 例子:动能并不是特别强(2-3)后,下M5的同时,也是恢复期到期的前一天

    动能并不是特别强(2-3)后,下M5的同时,但是恢复期到期 EG.002195 2017/06/23-->2017/06/29

  6. InstallShield 读注册表函数 RegDBGetKeyValueEx ()执行失败

    注: rtn = RegDBGetKeyValueEx(szKey, szNumName, nvType, svNumValue, nvSize); 调用失败如果这个函数的几个参数没有初始化的值,调用 ...

  7. HDU 1757 A Simple Math Problem(矩阵)

    A Simple Math Problem [题目链接]A Simple Math Problem [题目类型]矩阵快速幂 &题解: 这是一个模板题,也算是入门了吧. 推荐一个博客:点这里 跟 ...

  8. 监控Tomcat

    监控Tomcat 无论是使用Zabbix.还是jconsole等其他工具,当需要监控Tomcat时,需对Tomcat进行jmx配置.此处以Linux系统为例,配置Tomcat. 注意: 下文中出现的: ...

  9. Bootstrap-按钮相关的class

    .btn          基础class.btn-default  白底黑字的按钮.btn-warning  红色按钮.btn-success  绿色按钮.btn-info     浅蓝色按钮.bt ...

  10. Django后台管理系统讲解及使用

    大家在创建Django项目后,在根路由urls.py文件中,会看到一行代码 from django.contrib import admin urlpatterns = [ url(r'^admin/ ...