Como autenticar o Couchbase com o Windows Active Directory (via LDAP)

Este blog foi publicado originalmente no site do blog pessoal de Roi Katz. Por favor clique aqui para encontrar a postagem original. 

Olá a todos!

Portanto, você deseja autenticar o acesso dos usuários ao Couchbase por meio do serviço LDAP do Active Directory.

O Couchbase tem essa capacidade.

Na verdade, você pode mapear cada usuário para um dos três níveis de permissões de acesso (como na v4.1)

1. Administração completa
2. Somente leitura
3. Sem acesso

Presumo que seja o seguinte:

1. Você já tem um Active Directory instalado e funcionando

Caso contrário, consulte aqui ou aqui para obter instruções de configuração.

2. Você já tem o Couchbase instalado (em uma distribuição Linux)

Caso contrário, consulte esses guias: RHEL ou Debie   

Quanto à versão 4.1 do Couchbase, somente as distribuições do Linux oferecem suporte ao LDAP, e ele não está disponível no Windows nem no MacOS.

Minha configuração aqui é uma VM do Azure Windows Server 2012 R2 com Active Directory e uma VM local do Ubuntu 14.04.3 LTS com o Couchbase v4.1 instalado.

Na configuração do seu Couchbase Linux, você encontrará uma guia chamada LDAP Auth Setup

Para entender completamente como a autenticação LDAP funciona com o Couchbase, leia o artigo do Couchbase documentação.

Portanto, em primeiro lugar, instale o saslauthd

Preste atenção se estiver usando o RHEL ou o Ubutntu, pois os caminhos e as instruções são um pouco diferentes.

Versão TL;DR no Ubuntu

1. sudo apt-get update
2. sudo apt-get install sasl2-bin
3. sudo nano /etc/default/saslauthd
4. Alterar START=yes, MECHANISMS="ldap"
5. Salvar e sair (ctrl+x)
6. mudar para sudo (sudo -u)
7. altere a permissão de /var/run/saslauthd e /var/run/saslauthd/mux para 755 para que o usuário do couchbase possa acessá-los.
8. cd para a pasta /etc
9. Se o saslauthd.conf não existir, toque nele e adicione 755 permissões.
10. configure o arquivo da seguinte forma:

servidores ldap é seu servidor AD

ldap_search_base está em qual domínio você gostaria de pesquisar usuários (aqui é couchbase.org no AD)

ldap_filter é o que você deseja retornar

ldap_bind_dn é um usuário com permissões de privilégios de administrador que pode pesquisar a árvore de usuários do AD.

ldap_password a senha do usuário administrador

11. Aberto Portas do Active Directory para LDAP, 389 (TCP+UDP), 3268,3269, 636 (UDP)
12. Você pode testar sua conexão de diretório ativo com JXplorer
13. Reinicie seu serviço salsauthd - sudo service saslauthd restart
14. Teste-o! - sudo -u couchbase /usr/sbin/testsaslauthd -u -p mypassword -f /var/run/saslauthd/mux
15. Se você tiver permissões e configurar tudo conforme descrito acima, deverá receber uma mensagem de sucesso. O nome de usuário e a senha aqui são os que você deseja verificar, não o administrador do ldap.

Agora vamos usá-lo no console do Couchbase!

1. Faça login no console de gerenciamento do cluster e acesse settings -> LDAP Auth setup.
2. Ativar LDAP
3. Escolha seu comportamento padrão - se você não especificar o nome de usuário em nenhum lugar
4. Escreva alguns usuários ou grupos em cada caixa
5. Pressione salvar
6. Teste-o (à direita)
7. Se tudo estiver ok, você deverá receber algo como "o usuário 'x' tem acesso 'Full Admin' porque eu listei esse usuário em Full Admin".

8. Agora saia e tente fazer login com as credenciais do Active Directory.

Se eu errar a senha, não poderei acessar, como esperado.

Caso o servidor AD esteja inacessível, você ainda poderá fazer login por meio de suas contas normais do Couchbase.

Isso é tudo! Espero que você tenha gostado.

Roi.