ES安全 -LDAP 接入方法

最新推荐文章于 2024-01-30 20:33:52 发布
最新推荐文章于 2024-01-30 20:33:52 发布
阅读量2.4k 收藏
点赞数
分类专栏: elasticsearch 文章标签: elasticsearch ldap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_18895659/article/details/108770900
版权

注意:该项功能需要license

 

Ldap测试命令

ldapsearch -x -D "cn=username, ou=people, dc=example, dc=com" -w password -b "dc=example,dc=com" -p 389 -h ldap.example.com

 

elasticsearch.yml 修改

     order 数值越小越优先, ES7.X版本文档的配置项稍有不同,下面这个是6.X的配置,应该是兼容的

xpack:
  security:
    authc:
      realms:
        ldap1:
          type: ldap
          order: 0
          url: "ldap://ldap.example.com:389"
          bind_dn: "cn=username, ou=people, dc=example, dc=com"
          bind_password: password
          user_search:
            base_dn: "dc=example,dc=com"
            filter: "uid={0}"
          unmapped_groups_as_roles: false
        native1:
          type: native
          order: 1

 

必须每个节点都这么设置,然后重启节点

角色与权限配置

访问 kibana -> management -> roles

点击 create role 创建角色

按说明配置角色相关权限

配置完成后点击 save 保存。

用户角色绑定

LDAP 用户目前不支持通过 UI 界面配置,需要使用 API 来管理

详情请参考:

https://www.elastic.co/guide/en/elasticsearch/reference/6 api-put-role-mapping.html

访问 kibana -> dev tools 界面,使用下一 API 创建用户角色关联:

POST security/role_mapping/<role_mapping_name>
{
  "roles": [
    "test" //这里填写需要绑定的角色名,例如上面我们创建的test角色q
  ],
  "enabled": true,
  "rules": {
    "any": [
      {
        "field": {
          "username": [
            "esadmin" //这里填写需要绑定的ldap用户名
          ]
        }
      },
      {
        "field": {
          "groups": "cn=admins,dc=example,dc=com" //也可以把角色绑定到ldap用户组上
        }
      }
    ]
  }
}

elasticsearch-对接ldap认证
多年互联网一线运维开发经验,为多家企业独立开发过相关运维管理平台,负责过近千台服务器运维管理工作,对运维及运维开发岗位有深入理解。
03-26 1765
单节点es部署完成后,接入ldap
Elasticsearch数据接入
qq_27639777的博客
06-25 3513
文章目录简介LogStash接入ES-Hadoop接入重要配置批处理导入流数据写入Dstream to ESStructured Streaming to ES几个注意事项主键设置写入冲突Exactly OnceES写入性能 简介 Elasticsearch是一个分布式、RESTful风格的搜索和数据分析引擎,可以对大量数据进行快速的搜索和聚合分析。同时它能够水平扩展,每秒钟可处理海量事件,同时能...
java中es如何过ldap认证,ldap认证(按照上一篇ldap认证步骤编程)
weixin_35318150的博客
03-11 205
package com.test.ldap;import java.util.Hashtable;import javax.naming.AuthenticationException;import javax.naming.Context;import javax.naming.NamingEnumeration;import javax.naming.NamingException;impor...
kibana-auth-proxy:Kibana的forwardAuth代理为ldap提供集成
03-04
kibana-auth-proxy 旨在用作Authelia的forwardAuth代理(可能还进行了其他测试,例如nginx,未经测试),以便使用LDAP / Active Directory在Elasticsearch中进行用户访问而无需付费订阅。 请求去特拉菲克 Traefik将其代理给Authelia以验证用户 如果它从Authelia接收到200转发报头到第二个auth-> kibana-auth-proxy kibana-proxy-auth: 为本地Kibana用户生成随机密码(与LDAP密码无关) 使用来自Authelia标头的信息在配置文件中创建/更新Kibana + AD组/ kibana角色映射中的本地用户 生成并传递回Traefik标头: Authorization: Basic XXXYYYZZZZ Traefik将用户通过Authorization标头
tengine(nginx)开启openldap用户认证
完颜振江
01-24 301
1、安装依赖。 #yum -y install openldap-devel #yum install pcre pcre-devel -y #yum -y install openssl openssl-devel #yum groupinstall "Development Tools" -y 2、下载nginx-auth-ldap模块。 #yum -y install git #cd /soft/ #git clone https://github.com/kvspb/nginx-auth-
elasticsearch集群安全加密插件之search-guard
11-04
**Elasticsearch 集群安全加密插件 Search Guard** Search Guard是一款强大的安全解决方案,专为Elasticsearch设计,提供全面的数据保护、访问控制和安全监控功能。它可以帮助企业满足合规性要求,确保数据在传输和...
ldap服务器用户组权限,ElasticSearch结合LDAP实现权限、用户管控
weixin_39696197的博客
07-30 1085
项目背景使用ElasticSearch实现数据宽表,处理热交互数据,需要实现权限管控等功能,权限粒度要求精确到列。最初考虑使用Es的SearchGuard开源插件,发现SearchGuard的LDAP功能需要使用企业版,收费的,并且权限粒度仅支持到索引和type,并不支持列;后来采用Es提供的xpack插件,想办法处理下,就不收费了。Es需要安装xpack插件,配置默认用户,修改elastic用户...
ELK - Active Directory LDAP User Authentication
星之空
06-12 1351
Elasticsearch Active Directory踩坑记录。
Python安全攻防-从入门到入狱
热门推荐
Yasso的博客
01-31 1万+
Python安全攻防-从入门到入狱
ES客户端接入方式
大叶子不小的博客
01-30 1260
总结起来,Transport Client(传输客户端)是一个独立的 Java 客户端,而 Node Client(节点客户端)是通过将客户端节点加入到集群中来实现与集群通信的方式。它是通过在客户端应用程序中创建一个本地节点(Local Node)来实现的,该节点会加入集群并参与集群的协调工作。在 Elasticsearch (ES) 中,有两种常见的客户端接入方式:Transport Client(传输客户端)和 Node Client(节点客户端)。
eLdap-Ldap-Search-and-Filter:eLdap是一种工具,可帮助用户在Ldap环境中搜索和过滤查询
05-01
eLdap-Ldap搜索和过滤器 eLdap是一个工具,可以帮助用户在Ldap环境中搜索和过滤查询。 Ldap搜索和过滤器选项已添加添加Ldap注入有效负载。 将添加Ldap注射。 Ldap漏洞将被添加。 安装 git clone https://github.com/EmreOvunc/eLdap-Ldap-Search-and-Filter.git cd eLdap-Ldap-Search-and-Filter sudo pip3 install virtualenv python3 -m venv myvenv source myvenv/bin/activate pip3 install -r requirements.txt python3 manage.py runserver 用法
同步LDAP数据到ElasticSearch
weixin_43437629的博客
05-05 758
背景 、需求 在有数十万,甚至上百万的账号有AD(LDAP)中,通过某个字段匹配出符合要求对象的耗时是难以忍受的,作者在100w+的AD账号中搜索电话号码(AD中未加索引),耗时超过10min。有同学可能会提到说,可以对这些字段加索引就能解决,事实上是不可能的,索引本身会带来大量的磁盘消耗,如果对memberof这样的长字符串加索引更加不现实。于是作者实现将AD(LDAP)对象同步到elastic...
Nginx 结合Python Ldap认证用于Kibana权限登陆
weixin_34067049的博客
12-24 1103
参考及依赖 https://github.com/nginxinc/nginx-ldap-auth http://nginx.org/ nginx-1.14.2 http_auth_request_module nginx-ldap-auth python2.7 python-ldap Nginx支持ldap 部署nginx,注意需要http_auth_request_module支...
腾讯云ES:一键配置,LDAP身份验证服务来了!
cloudbigdata的博客
06-23 246
轻量目录访问协议LDAP(英文:Lightweight Directory Access Protocol),是一个运行在 TCP/IP 上的目录访问协议,您可通过集成ESLDAP身份验证,实现统一的认证管理。本文介绍如何基于腾讯云Elasticsearch Service配置轻量目录访问协议LDAP认证,以实现相应角色的LDAP用户访问腾讯云Elasticsearch...
ES部署使用及java接入手册
LaughingBi的博客
03-01 3045
通过ElasticSearch搜索。
ES的API使用
weixin_34270606的博客
11-26 843
一 概述 最近做Elasticsearch优化,需要调整节点参数,重启,查看是否生效。线下测试集群一般使用head插件,方便。但head插件需要其所在节点能正常提供服务,且客户端浏览器网络可达。这种约束不适合线上运维,最直接方式还是使用Elasticsearch提供的Rest API,通过curl 在某个节点上直接查看。 本文从《Elastic...
Security——Spring LDAP
十年梦归尘的专栏
12-08 594
Spring LDAP
ElasticSearchLDAP的安装和安全认证
ck978105293的博客
09-01 2496
文章目录一、使用Docker安装ES和Kibana1.创建网络2.安装ES3.安装Kibana4.汉化Kibana二、使用Docker安装openLDAP和phpldapadmin1.安装openLDAP2.安装phpldapadmin3.验证是否安装成功三、破解ES XPack1.将复制到自己机器上2.使用反编译工具luyten打开(其他的应该也行)3.将编辑好的文件传回docker容器里4.进入ES容器5.申请License6.加载License四、ESLDAP的认证1.编辑elasticsearch
如何使用极限网关无缝集成 LDAP 的介绍
infinilabs的博客
05-15 446
本文目的为例验证极限网关和 ldap 之间的集成功能:直接访问网关,走 ldap 验证 kibana 连接网关,走 ldap 验证 最近公司对 Elasticsearch 集群安全抓的紧了,免费的用户名密码固然是好,但还是免不了得给不同的部门、应用创建账户,不想搞。直接 LDAP 不完了吗?难道没有别的方案了吗?一圈打听下来,还真有。
security 指定 api 进行登录
最新发布
03-09
### 实现安全登录的方法 为了实现通过特定API的安全登录,配置认证源是一个重要的步骤。对于SimpleSAMLphp而言,在完成前期准备之后,需要进一步设置用于身份验证的数据源[^1]。 确保应用程序URL提前注册至关重要。这一步骤防止了潜在的安全风险——如果允许Windows Azure AD重定向至任意地址,则增加了攻击者劫持认证流程并窃取令牌的可能性;而预先登记应用的URL则保障了专属于该应用的身份验证令牌仅会被发送到此应用本身[^2]。 当涉及到具体技术栈中的安全性增强措施时,例如ElasticsearchLDAP集成场景下,可以采用加密方式存储密码而非明文形式保存于`elasticsearch.yml`文件中。利用命令行工具将绑定DN(`bind_dn`)对应的密码加入Elastisearch密钥库之中是一种较为推荐的做法[^3]。 另外值得注意的是,在现代Web开发环境中启用SSL/TLS协议不仅有助于保护数据传输过程中的隐私性和完整性,同时也支持基于Servlet 3.0规范的新特性如会话跟踪功能。不过需要注意的是由于其依赖于物理客户端-服务器连接上的SSL会话ID因此存在一定局限性[^4]。 最后,考虑到网络通信层面的安全需求,Java NIO框架下的Channel机制提供了灵活高效的I/O处理能力,特别是针对非阻塞模式的支持使得开发者可以在设计高并发服务端程序时更加得心应手[^5]。 综上所述,构建一个安全可靠的API登录接口涉及多个方面的工作,从合理规划OAuth授权流、HTTPS强制访问策略直至细致入微的服务端组件间交互细节都需要给予充分重视。 ```java // 示例代码展示如何创建带有SSL上下文的HTTP请求工厂 import javax.net.ssl.HttpsURLConnection; import java.net.URL; public class SecureLoginExample { public static void main(String[] args) throws Exception { String targetUrl = "https://api.example.com/login"; // 创建URL对象 URL url = new URL(targetUrl); HttpsURLConnection conn = (HttpsURLConnection)url.openConnection(); // 设置必要的请求属性 conn.setRequestMethod("POST"); conn.setDoOutput(true); // 这里省略了实际发送用户名/密码等参数的过程 int responseCode = conn.getResponseCode(); System.out.println("Response Code : " + responseCode); } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值