如何使用符合LDAP的身份服務(wù)配置身份認證

如何使用符合LDAP的身份服務(wù)配置身份認證,相信很多沒有經(jīng)驗的人對此束手無策,為此本文總結(jié)了問題出現(xiàn)的原因和解決方法,通過這篇文章希望你能解決這個問題。

從事重慶服務(wù)器托管,服務(wù)器租用,云主機,虛擬主機域名注冊,CDN,網(wǎng)絡(luò)代維等服務(wù)。

如何在Cloudera Manager中使用LDAP配置身份認證。    
在Cloudera Manager中使用LDAP配置身份認證
LDAP兼容的身份/目錄服務(wù)(例如OpenLDAP)提供了不同的選項,以使Cloudera Manager能夠在目錄中查找用戶帳戶和組:  
 
? 使用單個專有名稱(DN)作為基礎(chǔ),并提供一種模式(  專有名稱模式)以匹配目錄中的用戶名,或者
? 搜索過濾器選項使您可以根據(jù)更廣泛的搜索條件來搜索特定用戶-例如,Cloudera Manager用戶可以是不同組或組織單位(OU)的成員,因此單個模式無法找到所有這些用戶。搜索過濾器選項還使您可以找到用戶所屬的所有組,以幫助確定該用戶是否應(yīng)具有登錄名或管理員訪問權(quán)限。

1) 登錄到Cloudera Manager管理控制臺。

2) 選擇管理>設(shè)置。

3) 為 類別過濾器選擇外部身份認證以顯示設(shè)置。

4) 對于“身份認證后端順序”,選擇Cloudera Manager應(yīng)為登錄嘗試查找身份認證憑證的順序。

5) 對于“外部身份認證類型”,選擇“ LDAP”。

6) 在LDAP URL屬性中,提供LDAP服務(wù)器的URL和(可選)作為URL的一部分的基礎(chǔ)專有名稱(DN)(搜索基礎(chǔ))(例如) ldap://ldap-server.corp.com/dc=corp,dc=com。

7) 如果您的服務(wù)器不允許匿名綁定,請?zhí)峁┯糜诮壎ǖ侥夸浀挠脩鬌N和密碼。這些是LDAP綁定用戶專有名稱和 LDAP綁定密碼屬性。默認情況下,Cloudera Manager假定匿名綁定。

8) 使用以下方法之一搜索用戶和組:

? 您可以使用“用戶”或“組”搜索過濾器,LDAP User Search Base, LDAP User Search Filter, LDAP Group Search Base and LDAP Group Search Filter設(shè)置進行搜索。這些允許您將基本DN與搜索過濾器結(jié)合使用,以允許更大范圍的搜索目標。

例如,如果要  認證可能屬于多個OU之一的用戶,則搜索過濾器機制將允許這樣做。您可以將用戶搜索基礎(chǔ)DN指定為   dc=corp,dc=com,將用戶搜索過濾器指定為   uid={0}。然后,Cloudera Manager將在從基本DN開始的樹中任何位置搜索用戶。假設(shè)你有兩個OUs-  ou=Engineering和  ou=Operations-Cloudera經(jīng)理會發(fā)現(xiàn)用戶“foo”是否存在在這些OU中,如果存在, 則為  uid=foo,ou=Engineering,dc=corp,dc=com或   uid=foo,ou=Operations,dc=corp,dc=com。
您可以將用戶搜索過濾器與DN模式一起使用,以便在DN模式搜索失敗時,搜索過濾器可以提供備用。
“組”過濾器使您可以搜索以確定DN或用戶名是否是目標組的成員。在這種情況下,您提供的過濾器可能類似于   member={0}將要  認證的用戶的  DN替換為  {0}的地方。對于需要用戶名的過濾器,可以使用   {1},即   memberUid={1}  ,這將返回用戶所屬的組列表,該列表將與討論的組屬性中的列表進行比較。

? 或者,指定一個基本的專有名稱(DN),然后在LDAP專有名稱模式 屬性中提供“專有名稱模式” 。

在模式中使用  {0}來指示用戶名應(yīng)該去哪里。例如,要搜索  uid屬性是用戶名的專有名稱 ,您可以提供類似于的模式  uid={0},ou=People,dc=corp,dc=com。Cloudera Manager將登錄時提供的名稱替換為該模式,并搜索該特定用戶。因此,如果用戶在Cloudera Manager登錄頁面上提供用戶名“ foo”,則Cloudera Manager將搜索DN  uid=foo,ou=People,dc=corp,dc=com。
如果您提供了基本DN和URL,則該模式僅需要指定DN模式的其余部分。例如,如果您提供的URL是   ldap://ldap-server.corp.com/dc=corp,dc=com,模式是   uid={0},ou=People,則搜索DN將是   uid=foo,ou=People,dc=corp,dc=com。

9) 重新啟動Cloudera Manager Server。

 
配置Cloudera Manager以使用LDAPS
如  果LDAP服務(wù)器證書已由受信任的證書頒發(fā)機構(gòu)簽名,則下面的步驟1和2可能不是必需的。  
1) 將CA證書文件復(fù)制到Cloudera Manager Server主機。
2) 將CA證書從CA證書文件導(dǎo)入本地truststore。默認truststore位于   $JAVA_HOME/jre/lib/security/cacerts文件中。
這包含JDK隨附的默認CA信息。在  cacerts文件的相同位置 創(chuàng)建一個備用默認文件  jssecacerts?,F(xiàn)在,您可以安全地為默認  cacerts文件中不存在的任何私有或公共CA附加CA證書,同時保持原始文件不變。
對于我們的示例,我們將遵循以下建議:將默認  cacerts文件復(fù)制到新   jssecacerts文件中,然后將CA證書導(dǎo)入此備用truststore。
cp $JAVA_HOME/jre/lib/security/cacerts $JAVA_HOME/jre/lib/security/jssecacerts$ /usr/java/latest/bin/keytool -import -alias nt_domain_name-keystore /usr/java/latest/jre/lib/security/jssecacerts -file path_to_CA_cert

注意
Cacerts  存儲  的默認密碼是  changeit  。在  -alias  并不總是需要的域名。
另外,您可以使用Java選項:   javax.net.ssl.trustStore和   javax.net.ssl.trustStorePassword。打開   /etc/default/cloudera-scm-server文件并添加以下選項:
export CMF_JAVA_OPTS="-Xmx2G -XX:MaxPermSize=256m -XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=/tmp -Djavax.net.ssl.trustStore=/usr/java/default/jre/lib/security/jssecacerts -Djavax.net.ssl.trustStorePassword=changeit"
3) 配置  LDAP URL屬性以 代替 ldaps://  ldap_serverldap://  ldap_server
4) 重新啟動Cloudera Manager Server。

看完上述內(nèi)容,你們掌握如何使用符合LDAP的身份服務(wù)配置身份認證的方法了嗎?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,感謝各位的閱讀!

網(wǎng)站標題:如何使用符合LDAP的身份服務(wù)配置身份認證
URL網(wǎng)址:http://bm7419.com/article46/goeihg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供標簽優(yōu)化面包屑導(dǎo)航、小程序開發(fā)網(wǎng)站收錄、商城網(wǎng)站品牌網(wǎng)站建設(shè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

搜索引擎優(yōu)化