我正在尝试根据AD组或组织单位限制对zeppelin的访问。但是,我的配置不成功。
我在AWS中使用Simple AD实现了一个活动目录,该域名为corp.example.com
我创建了三个用户,两个组,一个组织单位。
这些组称为Access和NoAccess 用户称为AccessUser1,NoAccessUser1,AccessOrgUser1 组织单位称为AccessOrg
AccessUser1是memberOf Access NoAccessUser1是NoOccess的成员 AccessOrgUser1在OU AccessOrg
下创建我可以使用具有以下配置的任何用户登录:
### A sample for configuring LDAP Directory Realm
ldapRealm = org.apache.zeppelin.realm.LdapGroupRealm
ldapRealm.contextFactory.url = ldap://<UrlHere>
ldapRealm.contextFactory.authenticationMechanism = simple
我无法使用具有以下配置的任何用户登录:
### A sample for configuring LDAP Directory Realm
ldapRealm = org.apache.zeppelin.realm.LdapGroupRealm
## search base for ldap groups (only relevant for LdapGroupRealm):
ldapRealm.contextFactory.environment[ldap.searchBase] = ou=Users,dc=CORP,dc=EXAMPLE,dc=COM
ldapRealm.contextFactory.url = ldap://<UrlHere>
ldapRealm.userDnTemplate = uid={0},ou=Users,dc=CORP,dc=EXAMPLE,dc=COM
ldapRealm.contextFactory.authenticationMechanism = simple
答案 0 :(得分:0)
您不需要配置[users]或[roles],因为它们是用于基本身份验证的。
您将需要配置activedirectoryrealm选项和ldaprealm选项。
(指的是:https://zeppelin.apache.org/docs/0.6.2/security/shiroauthentication.html#5-groups-and-permissions-optional)
更改
uid={0},ou=Users,dc=CORP,dc=EXAMPLE,dc=COM
到
CN={0},ou=Users,dc=CORP,dc=EXAMPLE,dc=COM
您还需要填充activeDirectoryRealm.systemUsername和activeDirectoryRealm.systemPassword。
这将允许您从广告中指定可以登录的组。