-
2021-03-26 14:25:48
基于LDAP配置Ranger授权之配置LDAP
之前搭的测试集群都是裸机进行跑任务,开发,测试集群也随时可以拆了重装随意捣鼓嘛,现在需要给测试集群安装ranger,Kerberos等权限认证身份认证的东西往生产集群的配置靠近,由于之前的生产环境都是别人搭好没机会参与与研究,最近刚好有这个机会来安装配置,也为不久的将来去给客户搭个符合生产环境的集群。
Ranger的安装总结语言
由于是因为长达一周多看资料踩坑配置测试才正确地安装好才写这篇文章用于记录安装步骤,以供后来再次安装的时候能立刻copy解决问题,安装排错都花了一周多,也不容易。
1. ranger的个组件的认识。
Ranger主要由以下三个组件构成:
RangerAdmin: 以RESTFUL形式提供策略的增删改查接口,同时内置一个Web管理页面。
AgentPlugin: 嵌入到各系统执行流程中,定期从RangerAdmin拉取策略,根据策略执行访问决策树,并且记录访问审计,hdfs,yarn,hive.atlas,hbase等组件插件。
UserSync: 定期从LDAP/Unix/File中加载用户,上报给RangerAdmin,将这些用户加载到ranger admin的user/group的对应的列表下。如果是使用LDAP的话前提是需要配置好对应的匹配规则让rnager 同步组件识别规则以及目录树然后根据规则将对应的用户同步上去。2.先安装 配置 lDAP Server。
更多相关内容 -
详解Django-auth-ldap 配置方法
2020-09-19 21:07:54Django-auth-ldap是一个Django身份验证后端,可以针对LDAP服务进行身份验证。这篇文章主要介绍了详解Django-auth-ldap 配置方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧 -
LDAP配置
2022-03-15 17:52:09在配置我司交换设备ldap的时候具体是配置ou,o还是cn等,要具体看ldap服务器的相应目录是什么属性。 o:organizationName 组织名 uid: userid 对象的属性为uid,例如我司一个员工的名字为:zsq,他的ULDAP标注:
-
Cn:common name 通用名
对象的属性为CN,例如一个用户的名字为:张三,那么“张三”就是一个CN。 -
ou : OrganizationUnit 组织单位
o和ou都是ldap目录结构的一个属性,建立目录的时候可选新建o,ou 等。在配置我司交换设备ldap的时候具体是配置ou,o还是cn等,要具体看ldap服务器的相应目录是什么属性。 -
o:organizationName 组织名
-
uid: userid
对象的属性为uid,例如我司一个员工的名字为:zsq,他的UID为:z02691,ldap查询的时候可以根据cn,也可以根据uid。配置ldap查询的时候需要考虑用何种查询方式。我司两种方式都支持,具体我司设备配置根据何种方式查询需要有ldap服务器的相关配置来决定。 -
DC:Domain Component
DC类似于dns中的每个元素,例如h3c.com,“.”符号分开的两个单词可以看成两个DC, -
DN:Distinguished Name
类似于DNS,DN与DNS的区别是:组成DN的每个值都有一个属性类型,例如:
H3c.com是一个dns,那么用dn表示为:dc=h3c,dc=com 级别越高越靠后。H3c和com的属性都是DC。
DN可以表示为ldap的某个目录,也可以表示成目录中的某个对象,这个对象可以是用户等。
eg:
Django认证的ldap配置#修改Django认证先走ldap,再走本地认证 AUTHENTICATION_BACKENDS = [ 'django_auth_ldap.backend.LDAPBackend', 'django.contrib.auth.backends.ModelBackend', ] #ldap的连接基础配置 AUTH_LDAP_SERVER_URI = "ldap://xxx.xxx.xxx.xxx:389" # ldap or ad 服务器地址 AUTH_LDAP_BIND_DN = "CN=administrator,CN=Users,DC=test,DC=com" # 管理员的dn路径 AUTH_LDAP_BIND_PASSWORD = 'testpassword' # 管理员密码 #允许认证用户的路径 AUTH_LDAP_USER_SEARCH = LDAPSearch("OU=test,DC=test,DC=intra", ldap.SCOPE_SUBTREE, "(sAMAccountName=%(user)s)") #通过组进行权限控制 AUTH_LDAP_GROUP_SEARCH = LDAPSearch("ou=groups,ou=test,dc=test,dc=intra", ldap.SCOPE_SUBTREE, "(objectClass=groupOfNames)" ) AUTH_LDAP_GROUP_TYPE = GroupOfNamesType() #is_staff:这个组里的成员可以登录;is_superuser:组成员是django admin的超级管理员;is_active:组成员可以登录django admin后台,但是无权限查看后台内容 AUTH_LDAP_USER_FLAGS_BY_GROUP = { "is_staff": "cn=test_users,ou=groups,OU=test,DC=test,DC=com", "is_superuser": "cn=test_users,ou=groups,OU=tset,DC=test,DC=com", } #通过组进行权限控制end #如果ldap服务器是Windows的AD,需要配置上如下选项 AUTH_LDAP_CONNECTION_OPTIONS = { ldap.OPT_DEBUG_LEVEL: 1, ldap.OPT_REFERRALS: 0, } #当ldap用户登录时,从ldap的用户属性对应写到django的user数据库,键为django的属性,值为ldap用户的属性 AUTH_LDAP_USER_ATTR_MAP = { "first_name": "givenName", "last_name": "sn", "email": "mail" } #如果为True,每次组成员都从ldap重新获取,保证组成员的实时性;反之会对组成员进行缓存,提升性能,但是降低实时性 # AUTH_LDAP_FIND_GROUP_PERMS = True
-
-
飞连v2.0 初次使用-LDAP 配置手册.pdf
2021-08-31 16:11:58飞连v2.0 初次使用-LDAP 配置手册 -
asa_ldap_authenticationASA防火墙LDAP配置指南.pdf
2021-11-26 09:15:46asa_ldap_authenticationASA防火墙LDAP配置指南.pdf -
LDAP配置与测试
2021-04-01 22:50:26安装ldap,当前版本为2.4.53: apt-get update apt-get install slapd ldap-utils -y $ slapd -VV @(#) $OpenLDAP: slapd 2.4.53+dfsg-1ubuntu1.4 (Feb 18 2021 14:19:03) $ Ubuntu Developers <ubuntu-devel-...安装环境:
$ cat /etc/issue Ubuntu 20.10 \n \l
安装ldap,当前版本为2.4.53:
apt-get update apt-get install slapd ldap-utils -y $ slapd -VV @(#) $OpenLDAP: slapd 2.4.53+dfsg-1ubuntu1.4 (Feb 18 2021 14:19:03) $ Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
安装过程中,dc设置为example.com,密码设置为testing,组织名称设置为home。如下使用slapcat查看配置信息。其中creatorsName的值即管理员名称,随后将会用到。
$ sudo slapcat dn: dc=example,dc=com objectClass: top objectClass: dcObject objectClass: organization o: home dc: example structuralObjectClass: organization entryUUID: f5948fb0-26e2-103b-9dbe-8f30510a7aeb creatorsName: cn=admin,dc=example,dc=com createTimestamp: 20210401030612Z entryCSN: 20210401030612.554675Z#000000#000#000000 modifiersName: cn=admin,dc=example,dc=com modifyTimestamp: 20210401030612Z
接下来安装phpldapadmin:
apt-get install phpldapadmin
配置phpldapadmin,其中192.168.2.44为本机的ip地址,bind_id和bind_pass字段为LDAP的管理员和密码。
vi /etc/phpldapadmin/config.php $servers->setValue('server','host','192.168.2.44'); $servers->setValue('login','auth_type','cookie'); $servers->setValue('login','bind_id','cn=admin,dc=example,dc=com'); $servers->setValue('login','bind_pass','testing'); $servers->setValue('auto_number','min',array('uidNumber'=>10000,'gidNumber'=>10000));
配置好之后,重启服务:
systemctl restart slapd systemctl restart apache2
登录phpldapadmin,URL地址:http://192.168.2.44/phpldapadmin , 用户名为:cn=admin,dc=example,dc=com,登录密码为:testing。以下通过phpldapadmin创建LDAP用户,首先新建一个组织,使用模板“ Generic: Organisational Unit”:
如下为组织的信息,假设为shangdi(上地):
其次,在组织下创建一个用户组,使用模板“Generic: Posix Group”:
如下为用户组信息,假设组名称为firewall:
最后,在firewall组内添加用户,使用模板“Generic: User Account”:
如下为用户信息,设置其名称为test,密码为123456:
可通过slapcat命令,查看以上配置的结果。
$ sudo slapcat ... dn: cn=shangdi,dc=example,dc=com l: beijing description: beijing company facsimileTelephoneNumber: 12345678 objectClass: organizationalRole objectClass: top roleOccupant: dc=example,dc=com cn: shangdi structuralObjectClass: organizationalRole entryUUID: c4660c04-26e5-103b-99e3-b1553c31baa9 creatorsName: cn=admin,dc=example,dc=com createTimestamp: 20210401032618Z entryCSN: 20210401032618.531590Z#000000#000#000000 modifiersName: cn=admin,dc=example,dc=com modifyTimestamp: 20210401032618Z dn: cn=firewall,cn=shangdi,dc=example,dc=com gidNumber: 10000 cn: firewall objectClass: posixGroup objectClass: top structuralObjectClass: posixGroup entryUUID: 1a04e798-26e6-103b-99e4-b1553c31baa9 creatorsName: cn=admin,dc=example,dc=com createTimestamp: 20210401032842Z entryCSN: 20210401032842.179128Z#000000#000#000000 modifiersName: cn=admin,dc=example,dc=com modifyTimestamp: 20210401032842Z dn: cn=test,cn=firewall,cn=shangdi,dc=example,dc=com cn:: IHRlc3Q= gidNumber: 10000 homeDirectory: /home/users/test sn: test loginShell: /bin/sh objectClass: inetOrgPerson objectClass: posixAccount objectClass: top userPassword:: MTIzNDU2 uidNumber: 10000 uid: test structuralObjectClass: inetOrgPerson entryUUID: ac825b28-26e6-103b-99e5-b1553c31baa9 creatorsName: cn=admin,dc=example,dc=com createTimestamp: 20210401033247Z entryCSN: 20210401033247.948640Z#000000#000#000000 modifiersName: cn=admin,dc=example,dc=com modifyTimestamp: 20210401033247Z
以下看一下认证过程报文,客户端首先发起bingRequest请求,携带用户名和密码。
其次,LDAP服务器回复bindResponse信息,以下表面绑定成功:
接下来,客户端发生searchRequest请求,
LDAP服务端回复searchResEntry查找回复项,返回用户相关信息,这里没有配置任何属性。
紧接着,LDAP回复searchResDone,表示搜索完成。
最后,客户端发生unbindRequest,解除绑定。
-
ldap配置文档
2014-01-06 16:30:27ldap 服务配置文档 pam 及数据库导入当操作。 -
Nifi单机安装并集成ldap配置
2020-11-25 11:09:563. Nifi配置 3.1 修改bootstrap.conf nifi@NIFI-001:~$ cd ~/nifi-1.11.4-bin nifi@NIFI-001:~/nifi-1.11.4-bin$ vim conf/bootstrap.conf 修改如下配置: # JVM memory settings java.arg.2=-Xms10240m .1. 准备软件安装包
nifi-1.11.4-bin.zip
2. 解压安装
unzip nifi-1.11.4-bin.zip
3. Nifi配置
3.1 修改bootstrap.conf
nifi@NIFI-001:~$ cd ~/nifi-1.11.4-bin nifi@NIFI-001:~/nifi-1.11.4-bin$ vim conf/bootstrap.conf 修改如下配置: # JVM memory settings java.arg.2=-Xms10240m java.arg.3=-Xmx20480m 打开注释: java.arg.13=-XX:+UseG1GC 保存退出。
注意:jvm大小根据实际机器内存进行配置,Xms和Xmx一般是折半,jvm 8G以上才打开G1垃圾回收,否则不要打开。
3.2 修改nifi.properties
nifi@NIFI-001: ~/nifi-1.11.4-bin$ vim conf/nifi.properties #修改如下配置: # web ui配置。http.port留空,启用https nifi.web.http.port= nifi.web.https.host=192.168.172.128 nifi.web.https.port=9443 保存退出。
3.3 集成LDAP配置
1、生成密钥库
nifi@NIFI-001:~$ cd ~/nifi-1.11.4-bin/toolkit/nifi-toolkit-1.11.4-SNAPSHOT/bin/ nifi@NIFI-001:~/nifi-1.11.4-bin/toolkit/nifi-toolkit-1.11.4-SNAPSHOT/bin$ ./tls-toolkit.sh standalone -n '192.168.172.128' --subjectAlternativeNames '192.168.172.128' -P nifi123 -S nifi123 -d 3600 -o ../store
可以看到已生成节点的目录,里面包含对应的密钥文件keystore.jks和truststore.jks,还有
2、将密钥文件拷贝到~/nifi-1.11.4-bin/conf/下,并修改配置文件:
nifi@NIFI-001:~/nifi-1.11.4-bin/toolkit/nifi-toolkit-1.11.4-SNAPSHOT/store/192.168.172.128$ cp *.jks ~/nifi-1.11.4-bin/conf/ nifi@NIFI-001:~/nifi-1.11.4-bin/toolkit/nifi-toolkit-1.11.4-SNAPSHOT/store/192.168.172.128$ cd ~/nifi-1.11.4-bin nifi@NIFI-001:~/nifi-1.11.4-bin$ vim conf/nifi.properties nifi.security.keystore=./conf/keystore.jks nifi.security.keystoreType=jks nifi.security.keystorePasswd=nifi123 nifi.security.keyPasswd= nifi.security.truststore=./conf/truststore.jks nifi.security.truststoreType=jks nifi.security.truststorePasswd=nifi123 nifi.security.user.authorizer=managed-authorizer nifi.security.user.login.identity.provider=ldap-provider nifi.security.ocsp.responder.url= nifi.security.ocsp.responder.certificate=
3、修改authorizers.xml文件
前提已经部署好ApacheDS,并且已建立好对应的用户和组。默认为uid=nifi,ou=wheel,dc=com,dc=cn。
nifi@NIFI-001:~/nifi-1.11.4-bin/conf$ vim authorizers.xml <userGroupProvider> <identifier>file-user-group-provider</identifier> <class>org.apache.nifi.authorization.FileUserGroupProvider</class> <property name="Users File">./conf/users.xml</property> <property name="Legacy Authorized Users File"></property> <property name="Initial User Identity 1">uid=nifi,ou=wheel,dc=com,dc=cn</property> </userGroupProvider>
<accessPolicyProvider> <identifier>file-access-policy-provider</identifier> <class>org.apache.nifi.authorization.FileAccessPolicyProvider</class> <property name="User Group Provider">file-user-group-provider</property> <property name="Authorizations File">./conf/authorizations.xml</property> <property name="Initial Admin Identity">uid=nifi,ou=wheel,dc=com,dc=cn</property> <property name="Legacy Authorized Users File"></property> <property name="Node Identity 1"></property> <property name="Node Group"></property> </accessPolicyProvider>
<authorizer> <identifier>managed-authorizer</identifier> <class>org.apache.nifi.authorization.StandardManagedAuthorizer</class> <property name="Access Policy Provider">file-access-policy-provider</property> </authorizer>
4、修改login-identity-providers.xml文件
nifi@NIFI-001:~/nifi-1.11.4-bin/conf$ vim login-identity-providers.xml <provider> <identifier>ldap-provider</identifier> <class>org.apache.nifi.ldap.LdapProvider</class> <property name="Authentication Strategy">SIMPLE</property> <property name="Manager DN">uid=admin,ou=system</property> <property name="Manager Password">nifi123</property> <!-- property name="TLS - Keystore"></property --> <!-- property name="TLS - Keystore Password"></property --> <!-- property name="TLS - Keystore Type"></property --> <!-- property name="TLS - Truststore"></property --> <!-- property name="TLS - Truststore Password"></property --> <!-- property name="TLS - Truststore Type"></property --> <!-- property name="TLS - Client Auth"></property --> <!-- property name="TLS - Protocol"></property --> <!-- property name="TLS - Shutdown Gracefully"></property --> <property name="Referral Strategy">FOLLOW</property> <property name="Connect Timeout">10 secs</property> <property name="Read Timeout">10 secs</property> <property name="Url">ldap://172.28.231.23:10389</property> <property name="User Search Base">ou=wheel,dc=com,dc=cn</property> <property name="User Search Filter">uid={0}</property> <property name="Identity Strategy">USE_DN</property> <property name="Authentication Expiration">12 hours</property> </provider>
3.4 配置最佳实践
1、修改limits.conf
nifi@NIFI-001:~$ sudo vim /etc/security/limits.conf 添加如下内容: * hard nofile 50000 * soft nofile 50000 * hard nproc 10000 * soft nproc 10000 nifi hard nofile 50000 nifi soft nofile 50000 nifi hard nproc 10000 nifi soft nproc 10000 保存退出。
2、修改90-nproc.conf
nifi@NIFI-001:~$ sudo vim /etc/security/limits.d/90-nproc.conf 添加如下内容: * soft nproc 10000 保存退出。
3、配置TCP套接字端口的数量
nifi@NIFI-001:~$ sudo sysctl -w net.ipv4.ip_local_port_range="10000 65000"
4、设置套接字在关闭时保持在TIMED_WAIT状态的时间
nifi@NIFI-001:~$ sudo sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait="1"
5、配置不使用交换
nifi@NIFI-001:~$ sudo vim /etc/sysctl.conf 添加如下内容: vm.swappiness = 0 保存退出。 生效配置。 nifi@NIFI-001:~$ sudo sysctl -p
4. 启停nifi
启动: nifi@NIFI-001:~/nifi-1.11.4-bin$ bin/nifi.sh start 停止: nifi@NIFI-001:~/nifi-1.11.4-bin$ bin/nifi.sh stop
5. 测试登录
输入用户名nifi,密码nifi123
当你使用初始管理员账号进入Nifi以后,你会发现大部分的地方都是灰色的,你基本没法做任何操作。这时候你可以通过点击右上侧的菜单栏并选择
Policies
来为你自己的账户添加全局权限,又或者点击Process Group
的权限按钮来设定应用于该组别的权限。 -
Sonar使用 LDAP配置
2021-08-20 09:52:06LDAP Authentication You can configure SonarQube authentication and authorization to an LDAP server (including LDAP Service of Active Directory) by configuring the correct values in$SONARQUBE-HOME/... -
Linux——LDAP配置.pdf
2021-09-30 17:49:40Linux——LDAP配置.pdf -
基于LDAP配置Ranger授权之配置ranger conf
2021-03-26 17:18:33基于LDAP配置Ranger授权之配置ranger 1.安装的时候一并安装了 infra Solr , Ranger Ranger KMS 2.配置数据库 下图是安装ranger admin的数据库配置, 下图的配置是后面创建KMS数据库需要用到BD管理员权限 这里... -
LDAP配置[参照].pdf
2021-10-11 03:58:56LDAP配置[参照].pdf -
ldap配置系列二:jenkins集成ldap
2018-09-09 10:10:11ldap配置系列二:jenkins集成ldap jenkins简介 jenkins是一个独立的、开放源码的自动化服务器,它可以用于自动化与构建、测试、交付或部署软件相关的各种任务。 jenkins官方文档: https://jenkins.io/doc/ jenkins... -
2021-07-16 jumpserver的LDAP配置(有彩蛋)
2021-07-16 23:35:481、 因为服务器不允许访问外网,因此我是先下载镜像导出再上传到服务器,比较麻烦,如果有配置有镜像仓库就方便解决这个问题, #下载镜像 #!/bin/bash VERSION=v2.11.4 sudo docker pull jumpserver/redis:6-alpine ... -
Linux——LDAP配置[借鉴].pdf
2021-10-11 04:05:47Linux——LDAP配置[借鉴].pdf -
【django】详解Django-auth-ldap 配置方法
2022-03-15 16:37:48http://www.zzvips.com/article/159516.html -
Jenkins+Ldap:jenkins集成ldap,ldap配置错误导致jenkins用户登录失败问题解决
2021-08-11 11:40:39如果配置ldap用户登录jenkins失败了,那所有用户都登录不了了 解决 先看下jenkins支持登录的几种方式 默认是Jenkins专用用户数据库中的账号登录 也就是在第一次启动jenkins配置的账号 选择ldap方式登录配置错解决... -
microsoft ldap 配置页中输入有效的用户名
2019-12-23 16:01:54microsoft ldap 配置页中输入有效的用户名 -
ldap 配置过程详解
2016-09-18 16:05:00ldap常用名称解释 1.环境搭建 操作系统:centos6.5 x86_64关闭防火墙、selinux开启时间同步# crontab -e加入# time sync*/5 * * * * /usr/sbin/ntpdate 192.168.8.102 >/dev/null 2>&1# crontab -l*... -
gitlab ldap配置
2018-12-04 20:33:39gitlab ldap配置参考 gitlab配置文件:/etc/gitlab/gitlab.rb 编辑gitlab.rb文件: 在gitlab.rb文件中修改下面配置,其中: 1.host,是搭建的ldap的ip,根据实际情况修改; 2.uid,可以配置cn,也可以配置uid,... -
ldap 详解(linux 下的ldap配置精华文档)
2009-03-23 14:51:32关于linux 里ldap的详细安装和解释文档 -
linux LDAP配置
2017-11-08 14:01:00网络资源查找、用户访问控制、认证信息查询、网络安全、商务网的通用数据库服务和安全服务。.../etc/openldap/ldap.conf定义全局性的内容 拷贝配置文件:/usr/share/openldap-servers/slapd.conf.obsolete cp... -
Maximo - LDAP 配置
2013-01-29 10:50:54Maximo - LDAP 配置 目录 预备知识 –LDAP协议 –目录服务器 –目录结构 –验证vs授权 –验证过程 –用户定义 –Cron任务 WAS配置 –开启应用程序安全性 –联合存储库 –Ldap存储库 –安全角色到用户/组映射 ... -
禅道开源版ldap配置
2018-05-29 21:19:53一,安装禅道开源版 建议用一键安装版,下载地址,参考安装文档。 二,安装ldap插件 根据提示,选择插件... 三,配置 1,ldap参数配置 禅道目录/module/user/ext/config/ldap.php,配置如图 ldap_bind_dn这里... -
ldap配置_AIX上的LDAP配置管理和故障排除
2020-06-22 07:13:58用户管理是分布式计算环境的重要组成部分。... 为了实现万无一失的IBM Directory Server配置并准备使用,您需要对轻型目录访问协议(LDAP)概念和配置管理有很好的了解。 本文概述了LDAP及其体系结构。 它还讨论... -
ldap配置方法
2016-10-02 15:28:31ldap 配置,使用 -
gitlab集成ldap配置
2017-05-11 14:46:46vim /home/git/gitlab/config/gitlab.yml ldap: enabled: true servers: host: 'host' uid: 'uid' bind_dn: 'cn=root,dc=xxx,dc=com' password: 'xxx' b