Kylin配置LDAP身份认证

  |   0 评论   |   1,120 浏览

Kylin支持在生产环境中启用LDAP身份验证;这是通过Spring Security框架实现的;在启用LDAP之前,请联系您的LDAP管理员以获取必要的信息,如LDAP服务器URL,用户名/密码,搜索模式等;

配置LDAP Server信息

获取加密的LDAP密码

首先,如果LDAP服务器是启用密码保护的,需要提供LDAP URL和用户名/密码; kylin.properties中的密码需要加密;

您可以运行以下命令来获取加密值:

java -classpath kylin-server-base-2.2.0.jar:spring-beans-4.3.10.RELEASE.jar:spring-core-4.3.10.RELEASE.jar:commons-codec-1.7.jar org.apache.kylin.rest.security.PasswordPlaceholderConfigurer AES <your_password>

image.png

在conf/kylin.properties中配置服务器信息

kylin.security.ldap.connection-server=ldap://<your_ldap_host>:<port>
kylin.security.ldap.connection-username=<your_user_name>
kylin.security.ldap.connection-password=<your_password_encrypted>

提供user search patterns

kylin.security.ldap.user-search-base=ou=People,dc=cxy7,dc=com
kylin.security.ldap.user-search-pattern=uid={0}
kylin.security.ldap.user-group-search-base=ou=Group,dc=cxy7,dc=com

配置管理组

如果希望将LDAP组映射到Kylin中的管理组,需要将“kylin.security.acl.admin-role”设置为LDAP组名称(应保留原始大小写),然后该组中的用户将是Kylin中的全局管理员。 例如,在LDAP中,组“cxy7_admin”是管理员列表,这里需要将其设置为:

kylin.security.acl.admin-role=cxy7_admin

注意:从Kylin 2.3之前的版本升级到2.3或更高版本时,请删除早期版本中此设置中所要求的“ROLE_”前缀,并保留组名称的原始大小写。并且kylin.security.acl.default-role属性已废弃。

image.png

启用LDAP

在conf/kylin.properties配置

kylin.security.profile=ldap

重启Kylin服务

注意

官方文档中的相关参数已经废弃

2018-08-18 17:16:51,549 WARN  [http-bio-7070-exec-9] common.BackwardCompatibilityConfig:93 : Config 'ldap.server' is deprecated, use 'kylin.security.ldap.connection-server' instead
2018-08-18 17:16:51,549 WARN  [http-bio-7070-exec-9] common.BackwardCompatibilityConfig:93 : Config 'ldap.username' is deprecated, use 'kylin.security.ldap.connection-username' instead
2018-08-18 17:16:51,550 WARN  [http-bio-7070-exec-9] common.BackwardCompatibilityConfig:93 : Config 'ldap.password' is deprecated, use 'kylin.security.ldap.connection-password' instead
2018-08-18 17:16:51,550 WARN  [http-bio-7070-exec-9] common.BackwardCompatibilityConfig:93 : Config 'ldap.user.searchBase' is deprecated, use 'kylin.security.ldap.user-search-base' instead
2018-08-18 17:16:51,550 WARN  [http-bio-7070-exec-9] common.BackwardCompatibilityConfig:93 : Config 'ldap.user.searchPattern' is deprecated, use 'kylin.security.ldap.user-search-pattern' instead
2018-08-18 17:16:51,550 WARN  [http-bio-7070-exec-9] common.BackwardCompatibilityConfig:93 : Config 'ldap.user.groupSearchBase' is deprecated, use 'kylin.security.ldap.user-group-search-base' instead