ldap配置支持x-pack有兩種格式:
1. User Search Mode
2. User DN Templates Mode
由於第一種方式需要明文填入ldap管理員賬號信息,我這邊采用第二種方案 。
elasticsearch配置文件中添加以下配置:
xpack:
security:
authc:
realms:
ldap1:
type: ldap
order: 0
url: "ldap://ldap.xxxxx.net:389"
user_dn_templates:
- "cn={0},ou=People,dc=ldap,dc=xxxxx,dc=net"
group_search:
base_dn: "ou=kibana,dc=ldap,dc=xxxxx,dc=net"
files:
role_mapping: "/etc/elasticsearch/x-pack/role_mapping.yml" #x-pack角色與ldap賬戶綁定文件
cache.ttl: 3m #指定用戶條目的生存時間
unmapped_groups_as_roles: false
第一種方式配置(不推薦):
xpack:
security:
authc:
realms:
ldap1:
type: ldap
order: 0
url: "ldap://ldap.xxxx.net:389"
bind_dn: "cn=Manager,dc=ldap,dc=xxxxx,dc=net"
bind_password: xxxxx
user_search:
base_dn: "ou=People,dc=ldap,dc=xxxxx,dc=net"
attribute: cn
group_search:
base_dn: "ou=kibana,dc=ldap,dc=xxxxx,dc=net"
files:
role_mapping: "/etc/elasticsearch/x-pack/role_mapping.yml"
cache.ttl: 3m
unmapped_groups_as_roles: false
查看/etc/elasticsearch/x-pack/role_mapping.yml 文件內容:
logRead: #只讀,需在kibana面板上創建該角色
- "cn=kibana-software-users,ou=kibana,dc=ldap,dc=xxxxx,dc=net"
superuser: #管理員
- "cn=kibana-software-admin,ou=kibana,dc=ldap,dc=xxxxx,dc=net"
查看kibana上角色信息:
添加角色映射:
superuser:
curl -uelastic -X PUT "localhost:9200/_security/role_mapping/admins?pretty" -H 'Content-Type: application/json' -d'
{
"roles" : [ "superuser" ],
"rules" : { "field" : {
"groups" : "cn=kibana-software-admin,ou=kibana,dc=ldap,dc=safetytaxfree,dc=net"
} },
"enabled": true
}
'
LogRead:
curl -uelastic -X PUT "localhost:9200/_security/role_mapping/basic_users?pretty" -H 'Content-Type: application/json' -d'
{
"roles" : [ "LogRead" ],
"rules" : { "field" : {
"groups" : "cn=kibana-software-users,ou=kibana,dc=ldap,dc=safetytaxfree,dc=net"
} },
"enabled": true
}
'
配置完成,默認 xpack 每五秒會檢查一次 role_mapping 文件的變化,修改用戶權限之后不需要重新加載ES。
使用ldap賬號檢驗角色權限:curl -XGET -uxxxx.xxx@xxx.com 'localhost:9200/_xpack/security/_authenticate?pretty'
ldap分組:
