如何使用符合LDAP的身份服務配置身份認證

發布時間：2022-01-05 18:14:03 來源：億速云閱讀：240 作者：柒染欄目：大數據

如何使用符合LDAP的身份服務配置身份認證，相信很多沒有經驗的人對此束手無策，為此本文總結了問題出現的原因和解決方法，通過這篇文章希望你能解決這個問題。

如何在Cloudera Manager中使用LDAP配置身份認證。

在Cloudera Manager中使用LDAP配置身份認證

LDAP兼容的身份/目錄服務（例如OpenLDAP）提供了不同的選項，以使Cloudera Manager能夠在目錄中查找用戶帳戶和組：

? 使用單個專有名稱（DN）作為基礎，并提供一種模式（專有名稱模式）以匹配目錄中的用戶名，或者

? 搜索過濾器選項使您可以根據更廣泛的搜索條件來搜索特定用戶-例如，Cloudera Manager用戶可以是不同組或組織單位（OU）的成員，因此單個模式無法找到所有這些用戶。搜索過濾器選項還使您可以找到用戶所屬的所有組，以幫助確定該用戶是否應具有登錄名或管理員訪問權限。

1) 登錄到Cloudera Manager管理控制臺。

2) 選擇管理>設置。

3) 為類別過濾器選擇外部身份認證以顯示設置。

4) 對于“身份認證后端順序”，選擇Cloudera Manager應為登錄嘗試查找身份認證憑證的順序。

5) 對于“外部身份認證類型”，選擇“ LDAP”。

6) 在LDAP URL屬性中，提供LDAP服務器的URL和（可選）作為URL的一部分的基礎專有名稱（DN）（搜索基礎）（例如） ldap://ldap-server.corp.com/dc=corp,dc=com。

7) 如果您的服務器不允許匿名綁定，請提供用于綁定到目錄的用戶DN和密碼。這些是LDAP綁定用戶專有名稱和 LDAP綁定密碼屬性。默認情況下，Cloudera Manager假定匿名綁定。

8) 使用以下方法之一搜索用戶和組：

? 您可以使用“用戶”或“組”搜索過濾器，LDAP User Search Base, LDAP User Search Filter, LDAP Group Search Base and LDAP Group Search Filter設置進行搜索。這些允許您將基本DN與搜索過濾器結合使用，以允許更大范圍的搜索目標。

例如，如果要認證可能屬于多個OU之一的用戶，則搜索過濾器機制將允許這樣做。您可以將用戶搜索基礎DN指定為 dc=corp,dc=com，將用戶搜索過濾器指定為 uid={0}。然后，Cloudera Manager將在從基本DN開始的樹中任何位置搜索用戶。假設你有兩個OUs- ou=Engineering和 ou=Operations-Cloudera經理會發現用戶“foo”是否存在在這些OU中，如果存在，則為 uid=foo,ou=Engineering,dc=corp,dc=com或 uid=foo,ou=Operations,dc=corp,dc=com。

您可以將用戶搜索過濾器與DN模式一起使用，以便在DN模式搜索失敗時，搜索過濾器可以提供備用。

“組”過濾器使您可以搜索以確定DN或用戶名是否是目標組的成員。在這種情況下，您提供的過濾器可能類似于 member={0}將要認證的用戶的 DN替換為 {0}的地方。對于需要用戶名的過濾器，可以使用 {1}，即 memberUid={1} ，這將返回用戶所屬的組列表，該列表將與討論的組屬性中的列表進行比較。

? 或者，指定一個基本的專有名稱（DN），然后在LDAP專有名稱模式屬性中提供“專有名稱模式” 。

在模式中使用 {0}來指示用戶名應該去哪里。例如，要搜索 uid屬性是用戶名的專有名稱，您可以提供類似于的模式 uid={0},ou=People,dc=corp,dc=com。Cloudera Manager將登錄時提供的名稱替換為該模式，并搜索該特定用戶。因此，如果用戶在Cloudera Manager登錄頁面上提供用戶名“ foo”，則Cloudera Manager將搜索DN uid=foo,ou=People,dc=corp,dc=com。

如果您提供了基本DN和URL，則該模式僅需要指定DN模式的其余部分。例如，如果您提供的URL是 ldap://ldap-server.corp.com/dc=corp,dc=com，模式是 uid={0},ou=People，則搜索DN將是 uid=foo,ou=People,dc=corp,dc=com。

9) 重新啟動Cloudera Manager Server。

配置Cloudera Manager以使用LDAPS

如果LDAP服務器證書已由受信任的證書頒發機構簽名，則下面的步驟1和2可能不是必需的。

1) 將CA證書文件復制到Cloudera Manager Server主機。

2) 將CA證書從CA證書文件導入本地truststore。默認truststore位于 $JAVA_HOME/jre/lib/security/cacerts文件中。

這包含JDK隨附的默認CA信息。在 cacerts文件的相同位置創建一個備用默認文件 jssecacerts。現在，您可以安全地為默認 cacerts文件中不存在的任何私有或公共CA附加CA證書，同時保持原始文件不變。

對于我們的示例，我們將遵循以下建議：將默認 cacerts文件復制到新 jssecacerts文件中，然后將CA證書導入此備用truststore。

cp $JAVA_HOME/jre/lib/security/cacerts $JAVA_HOME/jre/lib/security/jssecacerts$ /usr/java/latest/bin/keytool -import -alias nt_domain_name-keystore /usr/java/latest/jre/lib/security/jssecacerts -file path_to_CA_cert

注意

Cacerts 存儲的默認密碼是 changeit 。在 -alias 并不總是需要的域名。

另外，您可以使用Java選項： javax.net.ssl.trustStore和 javax.net.ssl.trustStorePassword。打開 /etc/default/cloudera-scm-server文件并添加以下選項：

export CMF_JAVA_OPTS="-Xmx2G -XX:MaxPermSize=256m -XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=/tmp -Djavax.net.ssl.trustStore=/usr/java/default/jre/lib/security/jssecacerts -Djavax.net.ssl.trustStorePassword=changeit"

3) 配置 LDAP URL屬性以代替 ldaps:// ldap_serverldap:// ldap_server

4) 重新啟動Cloudera Manager Server。

看完上述內容，你們掌握如何使用符合LDAP的身份服務配置身份認證的方法了嗎？如果還想學到更多技能或想了解更多相關內容，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！

向AI問一下細節

中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

如何使用符合LDAP的身份服務配置身份認證

猜你喜歡

中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

如何使用符合LDAP的身份服務配置身份認證

猜你喜歡

最新資訊

相關推薦

相關標簽