本文介绍如何基于腾讯云Elasticsearch Service配置轻量目录访问协议LDAP(Lightweight Directory Access Protocol)认证,以实现相应角色的LDAP用户访问腾讯云Elasticsearch Service。
使用限制
LDAP身份验证是Elasticsearch官方商业特性X-pack提供的高级功能,当前仅在白金版集群支持。其他版本集群如需使用,请先升级至白金版。
设置LDAP身份验证
- 登录腾讯云 Elasticsearch 控制台,单击集群名称访问目标集群,跳转至基础配置页面。
- 在访问控制模块,单击身份验证的编辑按钮,进入身份验证设置界面。
- 填写相关内容
- url:LDAP服务器地址。ldap服务器地址,以“ldap://”开头,后面填写域名或者IP地址。请确保填写的URL可在您的VPC下内网访问,否则该配置将无法生效。
- bind_dn:用于LDAP服务器认证的成员DN。需满足DN层次型语法结构,如:cn=admin,dc=husor,dc=com,长度不超过200个字符。
- bind_password:LDAP服务器连接密码。支持大小写字母、数字及符号-!@#$%&^*+=_:;,.?的组合,长度为6~63个字符。
- user_search.base_dn:用于检索已绑定LDAP成员的基准DN。需满足DN层次型语法结构,如:ou=HusorSSO,ou=People,dc=husor,dc=com,长度不超过200个字符。
- user_search.filter:查询过滤条件,系统将过滤满足条件的绑定关系。如:(uid={0})。
- group_search.base_dn:用于检索已绑定LDAP用户组的基准DN。需满足DN层次型语法结构,如:ou=HusorSSO,ou=People,dc=husor,dc=com,长度不超过200个字符。
- 确认填写内容无误后,单击确定,在弹出的对话框中,阅读注意事项,确认后,集群将会重启,可以在集群变更记录中查看变更进度。
- 设置成功后,您将会在身份验证看到LDAP已开启,如需修改LDAP身份验证设置,点击LDAP已开启 即可进行编辑。
配置LDAP用户角色权限
- 设置了LDAP身份验证后,LDAP用户还没有被分配任何权限,无法使用LDAP方式访问ES集群/Kibana,需要在Kibana中对LDAP用户进行角色映射。
- 登陆腾讯云 Elasticsearch 控制台,跳转进入集群的Kibana主页,进入Kibana的Dev Tools页面。
- 参考官方文档 role mapping API,创建LDAP用户与角色的映射关系。例如下面的示例,为LDAP用户zhangsan赋予了superuser角色的权限。
POST _xpack/security/role_mapping/ldap_role_mapping_zhangsan?pretty
{
"roles": [ "superuser" ],
"enabled": true,
"rules": {
"any": [
{
"field": {
"username": "zhangsan"
}
}
]
}
}
关闭LDAP身份验证
- 登录腾讯云 Elasticsearch 控制台,单击集群名称访问目标集群,跳转至基础配置页面。
- 在访问控制模块,单击身份验证中的关闭按钮,在弹出的对话框中,阅读注意事项,确认后,LDAP关闭操作开始,集群将会重启,可以在集群变更记录中查看变更进度。
注意事项
- 如果集群健康状态为 YELLOW 或 RED,进行修改配置操作有较大风险,需要先修复集群状态,再进行操作。
- 如果集群存在无副本索引,修改集群配置时会有强制重启的提示和选项框,此时进行修改重启操作有较大风险,可能会出现部分数据短暂无法访问的情况,建议为所有索引添加副本之后,再进行修改配置操作。
本页内容是否解决了您的问题?