이 블로그는 원래 로이 카츠의 개인 블로그 사이트에 게시되었습니다. 제발 여기를 클릭하세요 를 클릭하여 원본 게시물을 찾습니다.
안녕하세요!
따라서 Active Directory LDAP 서비스를 통해 Couchbase에 대한 사용자 액세스를 인증하려고 합니다.
카우치베이스에는 이러한 기능이 있습니다.
실제로 모든 사용자를 세 가지 액세스 권한 수준 중 하나에 매핑할 수 있습니다(v4.1의 경우).
- 전체 관리자
- 읽기 전용
- 액세스 권한 없음
다음과 같이 가정합니다:
- 이미 Active Directory를 설정하고 실행 중입니다.
그렇지 않은 경우 다음을 참조하세요. 여기 또는 여기 를 클릭하여 설정 지침을 확인하세요.
- 이미 Couchbase가 설치되어 있습니다(Linux 배포판에).
그렇지 않은 경우 해당 가이드를 참조하세요: RHEL 또는 Debian
Couchbase v4.1의 경우 Linux 배포판만 LDAP를 지원하며, Windows나 MacOS에서는 사용할 수 없습니다.
여기서는 Active Directory가 설치된 Azure Windows 서버 2012 R2 VM과 Couchbase v4.1이 설치된 로컬 Ubuntu 14.04.3 LTS VM을 설정했습니다.
리눅스 카우치베이스의 설정에서 LDAP 인증 설정이라는 탭을 찾을 수 있습니다.
Couchbase에서 LDAP 인증이 어떻게 작동하는지 완전히 이해하려면 Couchbase의 문서.
따라서 가장 먼저 saslauthd
RHEL 또는 Ubutntu를 사용하는 경우 경로와 지침이 약간 다르므로 주의하세요.
우분투의 TL;DR 버전
- sudo apt-get 업데이트
- sudo apt-get 설치 sasl2-bin
- sudo nano /etc/default/saslauthd
- 시작=예, 메커니즘="ldap" 변경
- 저장 후 종료(ctrl+x)
- sudo로 전환(sudo -u)
- 카우치베이스 사용자가 액세스할 수 있도록 /var/run/saslauthd 및 /var/run/saslauthd/mux에 대한 권한을 755로 변경합니다.
- 등 폴더에 CD
- saslauthd.conf가 존재하지 않으면 해당 파일을 터치하고 755 권한을 추가합니다.
- 파일을 다음과 같이 구성합니다:
|
1 2 3 4 5 6 7 8 9 10 11 |
ldap_servers: ldap://yourmachineaddress:389 ldap_search_base: dc=카우치베이스,dc=org ldap_filter: (sAMAccountName=%u) LDAP_BIND_DN: CN=[관리자 사용자],CN=사용자,DC=카우치베이스,DC=org ldap_password: [관리자 비밀번호] LDAP_AUTH_METHOD: 바인드 ldap_version: 3 LDAP_USE_SASL: 아니요 ldap_restart: yes ldap_deref: 아니요 LDAP_START_TLS: 아니요 |
ldap_servers 는 AD 서버입니다.
ldap_search_base 는 사용자를 검색할 도메인에 대한 것입니다(여기서는 AD의 couchbase.org입니다).
ldap_filter 반환하고 싶은 것
LDAP_BIND_DN 는 AD 사용자 트리를 검색할 수 있는 관리자 권한이 있는 사용자입니다.
ldap_password 관리자 사용자 비밀번호
- 열기 Active Directory 포트 LDAP의 경우 389(TCP+UDP), 3268,3269, 636(UDP)
- 다음을 사용하여 활성 디렉터리 연결을 테스트할 수 있습니다. JXplorer
- salsauthd 서비스 다시 시작 - sudo 서비스 saslauthd 다시 시작
- 테스트해 보세요! - sudo -u couchbase /usr/sbin/testsaslauthd -u -p mypassword -f /var/run/saslauthd/mux
- 권한이 있고 위와 같이 모두 설정했다면 성공 메시지가 표시되어야 합니다. 여기서 확인하려는 사용자 이름과 비밀번호는 ldap 관리자가 아닌 사용자 이름과 비밀번호입니다.
이제 Couchbase 콘솔에서 사용해 보겠습니다!
- 클러스터 관리 콘솔에 로그인하고 설정 -> LDAP 인증 설정을 누릅니다.
- LDAP 사용
- 기본 동작 선택 - 어디에도 사용자 아이디를 지정하지 않은 경우
- 각 상자에 몇 명의 사용자 또는 그룹을 적습니다.
- 히트 저장
- 테스트(오른쪽)
- 모든 것이 정상이면 "전체 관리자 아래에 해당 사용자를 등록했으므로 사용자 'x'에게 '전체 관리자' 액세스 권한이 있습니다."와 같은 메시지가 표시됩니다.
- 이제 로그아웃하고 Active Directory 자격 증명으로 로그인해 보세요.
비밀번호를 잘못 입력하면 예상대로 액세스할 수 없습니다.
AD 서버에 연결할 수 없는 경우에도 일반 Couchbase 계정을 통해 로그인할 수 있습니다.
여기까지입니다! 재미있게 보셨기를 바랍니다.
Roi.
버전 5용으로 업데이트된 버전이 있나요? 방금 RedHat 클러스터에서 설정했으며 'LDAP 인증 설정' 탭이 더 이상 존재하지 않습니다.
작업 중입니다.
그 동안 ldap 활성화 1 플래그와 함께 couchbase-cli ldap-setting을 사용하여 ldap을 활성화합니다.