Zeppelin Shiro LDAP 配置

Question

我正在尝试根据 AD 组或组织单位限制对 zeppelin 的访问。但是，我的配置不成功。

我在 AWS 中使用 Simple AD 实现了一个活动目录，域名为 corp.example.com

我创建了三个用户、两个组、一个组织单位。

这些组称为 Access 和 NoAccess 用户名为 AccessUser1、NoAccessUser1、AccessOrgUser1 组织单位称为 AccessOrg

AccessUser1 是 Access 的成员 NoAccessUser1 是 NoAccess 的成员 AccessOrgUser1 是在 OU AccessOrg 下创建的

我可以使用具有以下配置的任何用户登录：

### A sample for configuring LDAP Directory Realm
ldapRealm = org.apache.zeppelin.realm.LdapGroupRealm
ldapRealm.contextFactory.url = ldap://<UrlHere>
ldapRealm.contextFactory.authenticationMechanism = simple

我无法使用具有以下配置的任何用户登录：

### A sample for configuring LDAP Directory Realm
ldapRealm = org.apache.zeppelin.realm.LdapGroupRealm
## search base for ldap groups (only relevant for LdapGroupRealm):
ldapRealm.contextFactory.environment[ldap.searchBase] = ou=Users,dc=CORP,dc=EXAMPLE,dc=COM
ldapRealm.contextFactory.url = ldap://<UrlHere>
ldapRealm.userDnTemplate = uid={0},ou=Users,dc=CORP,dc=EXAMPLE,dc=COM
ldapRealm.contextFactory.authenticationMechanism = simple

Answer 1

您不需要配置[users] 或[roles]，因为它们用于基本身份验证。

您需要配置activedirectoryrealm 选项和ldaprealm 选项。 （参考：https://zeppelin.apache.org/docs/0.6.2/security/shiroauthentication.html#5-groups-and-permissions-optional）

改变

uid={0},ou=Users,dc=CORP,dc=EXAMPLE,dc=COM

到

CN={0},ou=Users,dc=CORP,dc=EXAMPLE,dc=COM

您还需要填写 activeDirectoryRealm.systemUsername 和 activeDirectoryRealm.systemPassword。

这将允许您从您的 AD 中指定可以登录的组。