限制用户使用气流

时间:2018-12-04 16:50:37

标签: ldap airflow memberof

我已经通过ldap身份验证在气流中工作,但是它允许我们目录中的任何用户登录。虽然它只为airflow-admin AD组的成员显示admin privs,但我希望不是airflow-admin或airflow-profiler组成员的用户被拒绝访问,而事实并非如此。 这是我的配置:

[webserver]
authenticate = True
auth_backend = airflow.contrib.auth.backends.ldap_auth

[ldap]
uri = ldaps://ldaps.mydomain.com:636
user_filter = objectClass=person
user_name_attr = sAMAccountName
group_member_attr = memberOf
superuser_filter = memberOf=CN=airflow-admin,OU=Users,DC=mydomain,DC=com
data_profiler_filter = memberOf=CN=airflow-profiler,OU=Users,DC=mydomain,DC=com
bind_user = cn=ldapadmin,ou=Admins,dc=mydomain,dc=com
bind_password = ******
basedn = dc=mydomain,dc=com
cacert = /usr/local/share/ca-certificates/mydomain.crt
search_scope = SUBTREE

我看到其他一些没有解决方法的类似帖子,我开始怀疑这是否可行。 这是ldap上气流文档部分的链接。 https://airflow.apache.org/security.html?#ldap

1 个答案:

答案 0 :(得分:1)

您是否尝试过通过user_filter过滤掉它们?

以下内容仅应允许上述两个组之一中的用户访问。不幸的是,我没有气流来测试和验证这一点。

user_filter = |(memberOf = CN = airflow-admin,OU = Users,DC = mydomain,DC = com)(memberOf = CN = airflow-profiler,OU = Users,DC = mydomain,DC = com)

相关问题
最新问题