LDAP 配置 (AEN 4.1.2)

默认情况下,Anaconda Enterprise Notebooks 对 AEN 数据库中的帐户进行本地身份验证。要将 AEN 配置为针对 LDAP(轻量级目录访问协议)服务器中的帐户进行身份验证,请按照以下说明进行操作。

有关配置 AEN 的更多信息,请参阅有关配置文件的文档 。

安装 OpenLDAP 库

系统需要安装 OpenLDAP 库并可由 Anaconda Enterprise Notebooks 访问。Anaconda Enterprise Notebooks 使用 OpenLDAP 库建立到 LDAP 服务器的 LDAP 连接。

CentOS/红帽

openldap在 CentOS 或 Red Hat 上安装,请运行以下命令:

须藤 yum 安装 openldap

Ubuntu/Debian

openldap在 Ubuntu 或 Debian 上安装,请按照官方 OpenLDAP 安装说明进行操作:https : //wiki.debian.org/LDAP/OpenLDAPSetup

开放LDAP

接下来,编辑 /opt/wakari/wakari-server/etc/wakari/wk-server-config.json 文件。添加 LDAP 设置,如下所示:

{ 
    "accounts" : "wk_server.plugins.accounts.ldap2" , 
    "LDAP"  :  { 
        "URI" :  "ldap://openldap.EXAMPLE.COM" , 
        "BIND_DN" :  "cn=Bob Jones,ou=Users, DC=EXAMPLE,DC=COM" , 
        "BIND_AUTH" :  "secretpass" , 
        "USER_SEARCH" :  { "base" :  "DC=EXAMPLE,DC=COM" , 
                        "filter" :  "(| (&(ou=Payroll) 
                                         ( uid =% (用户名) s )) 
                                      ( &  ( ou =设施)
                                         ( uid =% ( username ) s ))) " 
                        }, 
        "KEY_MAP" :  { "email" :  "mail" , 
                    "name" :  "cn" 
        } 
    } 
}

URI

  • OpenLDAP 服务器的 IP 地址或主机名。对于 SSL/TLS,使用ldaps://前缀并指定 a TLS_CACERT,如下面的 SSL/TLS 配置部分所述。

BIND_DN

  • 您希望 AEN Server 绑定为的用户的完整目录路径

BIND_AUTH

  • BIND_DN 用户的密码

KEY_MAP

  • 将 AEN Server 中的用户属性mail映射到LDAP 用户属性(例如,LDAP 中的email 属性映射到AEN Server 中的属性)

一旦安装了 LDAP,LDAP 身份验证就会接管,因此再次添加您的管理员帐户:

/ opt / wakari / wakari - server / bin / wk - server - admin 超级用户 --添加 “jsmith”

活动目录

Microsoft Active Directory 是一个服务器程序,它提供目录服务并使用开放的行业标准轻型目录访问协议 (LDAP)。

要启用 Active Directory 支持:

编辑/opt/wakari/wakari-server/etc/wakari/wk-server-config.json 文件。

添加 LDAP 设置,如下所示:

{ 
    “帐户” “wk_server.plugins.accounts.ldap2” 
    “LDAP”   { 
        “URI”  “ldap://<ad.EXAMPLE.COM>” 
        “BIND_DN”  “CN=绑定用户,CN=用户,DC=EXAMPLE,DC=COM" , 
        "BIND_AUTH" :  "secretpass" , 
        "USER_SEARCH" :  { "base" :  "CN=Users,DC=EXAMPLE,DC=COM" , 
                        "filter" :  "sAMAccountName= % (username)s " 
        }, 
        "KEY_MAP" :  { "电子邮件”  “邮件” 
                    “姓名”  “cn”
        } 
    } 
}

URI

  • Active Directory 服务器的 IP 地址或主机名。替换<ad.EXAMPLE.COM>为实际的 URI。对于 SSL/TLS,使用ldaps://前缀并指定 a TLS_CACERT,如下面的 SSL/TLS 配置部分所述。

BIND_DN

  • 您希望 AEN 服务器绑定的用户的完整目录路径。

BIND_AUTH

  • BIND_DN 用户的密码

用户搜索

  • base:您想要开始搜索的级别
  • 过滤器:默认是搜索sAMAccountName属性,并将其值用于 AEN 服务器username字段

KEY_MAP

  • 将 AEN Server 中的用户属性mail映射到LDAP 用户属性(例如,LDAP 中的email 属性映射到AEN Server 中的属性)

一旦安装了 LDAP,LDAP 身份验证就会接管,因此再次添加您的管理员帐户:

/ opt / wakari / wakari - server / bin / wk - server - admin 超级用户 --添加 “jsmith”

SSL/TLS 配置

Anaconda Enterprise Notebooks 使用系统范围的 LDAP 设置,包括 SSL/TLS 支持。

  • 在 Red Hat/CentOS 系统上,这些设置位于 /etc/openldap/ldap.conf
  • 在 Ubuntu/Debian 系统上,这些设置位于 /etc/ldap/ldap.conf

通常,唯一需要的选项是:

TLS_CACERT  /路径// CA 证书

CA.cert用于签署 LDAP 服务器的 SSL 证书的证书颁发机构在哪里。对于自签名 SSL 证书,这是 SSL 证书本身的路径。

使用 Flask-LDAP 检查测试配置

最后,使用以下flask-ldap-login-check 命令测试 LDAP 配置:

/ opt / wakari / wakari - server / bin / flask - ldap - login - check \
     wk_server wsgi : app \
     - u  [用户名] \
     - p  [密码]

其中``username``是有效用户的用户名,``password`` 是该用户的BIND_AUTH密码。