本篇文章1116字,读完约3分钟
阿里云国际站经销商,主营阿里云,腾讯云,华为云,亚马逊aws,谷歌云gcp,微软云az,免费开户,代充值优惠大,联系客服飞机@jkkddd
配置Active Directory身份认证
步骤一:获取终端节点域名(可选)如果您创建的阿里云Elasticsearch处于新网络架构下(2020年10月及之后创建的实例属于新网络架构),需要借助PrivateLink,打通用户VPC与阿里云服务账号VPC,获取终端域名,为后续配置做准备。具体操作如下:
创建与阿里云Elasticsearch实例处于同一VPC下,且支持PrivateLink功能的负载均衡实例。
具体操作,请参见步骤一:创建支持PrivateLink功能的负载均衡实例。
配置负载均衡实例。
配置时,需要指定LDAP所在的服务器为后端服务器,监听端口为389。
具体操作,请参见步骤二:配置负载均衡实例。
创建终端节点服务。
具体操作,请参见步骤三:创建终端节点服务。
配置阿里云Elasticsearch私网互通。
具体操作,请参见步骤四:配置阿里云Elasticsearch私网互通。
获取终端节点域名。
具体操作,请参见(可选)步骤五:查看终端节点域名
步骤二:配置AD认证
您可以通过Elasticsearch的安全功能与AD域通信,实现用户身份认证。安全功能基于LDAP与AD域进行通信,因此active_directory域类似于ldap域。与LDAP目录一样,AD域分层存储用户和组。AD域通过发送LDAP绑定请求,验证用户的身份。验证后,AD域会通过搜索查找对应用户在Active Directory中的条目。一旦找到该用户,AD域就会从Active Directory中用户条目的tokenGroups属性中检索该用户的组成员身份。详细信息,请参见Configuring an Active Directory realm。
如果您的目标阿里云Elasticsearch为6.x版本,可参见配置YML参数,在目标Elasticsearch实例的YML文件中添加如下配置,设置对应用户的AD认证。如果为7.x版本,则需要通过提交工单,将相关配置提交给技术人员帮您配置。
步骤三:为域账号映射角色
登录目标Elasticsearch实例的Kibana控制台。
具体操作,请参见登录Kibana控制台。
步骤四:验证结果
使用已授权的ccy1用户登录目标Elasticsearch的Kibana。
根据页面提示进入Kibana主页,单击右上角的Dev tools。
在Console页签,执行如下命令,验证ccy1用户是否有执行对应操作的权限。