我们一直在尝试添加正确的shiro配置,以确保特定的AD组只能登录并区分角色。我们有两个可行的解决方案,但是第一个让我们进入活动目录中的每个人(但是角色可以正常工作),第二个让每个人都不能进入,但是角色不起作用。
1) 此版本适用于特定CN的添加角色,但允许所有人登录。
activeDirectoryRealm = org.apache.zeppelin.realm.ActiveDirectoryGroupRealm
activeDirectoryRealm.systemUsername = aduser
activeDirectoryRealm.hadoopSecurityCredentialPath = jceks://file/user/zeppelin/conf/zeppelin.jceks
activeDirectoryRealm.searchBase = OU=User Accounts,DC=domain,DC=local
activeDirectoryRealm.url = ldap://AD.domain.local:389
activeDirectoryRealm.groupRolesMap = "CN=admins,OU=User Accounts,DC=domain,DC=local":"admin"
activeDirectoryRealm.authorizationCachingEnabled = false
activeDirectoryRealm.principalSuffix = @domain.local
securityManager.realms = $activeDirectoryRealm
2) 此版本将登录限制为指定的AD组,但不将角色与该组关联。
ldapADGCRealm = org.apache.zeppelin.realm.LdapRealm
ldapADGCRealm.contextFactory.systemUsername = aduser@domain.local
ldapADGCRealm.hadoopSecurityCredentialPath = jceks://file/user/zeppelin/conf/zeppelinldap.jceks
ldapADGCRealm.searchBase = "OU=User Accounts,DC=domain,DC=local"
ldapADGCRealm.userSearchBase = "OU=User Accounts,DC=domain,DC=local"
ldapADGCRealm.groupSearchBase = "OU=User Accounts,DC=domain,DC=local"
ldapADGCRealm.groupObjectClass = group
ldapADGCRealm.memberAttribute = memberUid
ldapADGCRealm.groupIdAttribute = cn
ldapADGCRealm.groupSearchEnableMatchingRuleInChain = true
ldapADGCRealm.rolesByGroup = users: admin
ldapADGCRealm.userSearchFilter = (&(objectclass=user)(sAMAccountName={0})(memberOf=CN=users,OU=User Accounts,DC=domain,DC=local))
ldapADGCRealm.contextFactory.url = ldap://AD.domain.local:389 (edited)
相关帖子:
有什么想法我们会出错吗?
谢谢, 安德拉斯
答案 0 :(得分:0)
迟到总比不到好) 使用LdapRealm获得了角色组映射。需要设置
ldapRealm.userSearchAttributeName = userPrincipalName
ldapRealm.memberAttribute = member
在本例中,userPrincipalName是AD中的属性,其中包含我们输入的完整用户名(user@domain.com),member是存储组成员的属性。