1. дома
  2. Вопрос и ответ
  3. Active Directory AuthorizationException в эластичном поиске

Active Directory AuthorizationException в эластичном поиске

2015-04-24 3 views
0

Я пытаюсь использовать аутентификацию AD. Я могу войти в систему успешно, но я не уполномочен выполнять какой-либо запрос в чуде. Everytime я выполнить запрос в чуде, я получаю следующее error.Below являются деталиActive Directory AuthorizationException в эластичном поиске

{ 
    "error": "AuthorizationException[action [indices:data/read/search] is unauthorized for user [shivang.Mittal]]", 
    "status": 403 
}

elasticsearch.yml (C: \ ES \ elasticsearch-1.4.4 \ Config)

shield: 
    authc: 
    realms: 
     active_directory: 
     type: active_directory 
     domain_name: tavant.in 
     url: "LDAP://DODC1.tavant.in:389" 
     user_dn_templates: 
      - "cn={0}, dc=tavant, dc=in" 
     group_search: 
      base_dn: "dc=tavant,dc=in" 
     files: 
      role_mapping: "C:/ES/elasticsearch-1.4.4/config/shield/role_mapping.yml"

role_mapping.yml (C: \ ES \ elasticsearch-1.4.4 \ config \ shield). скопирован один и тот же файл в узле (C: \ ES \ elasticsearch-1.4.4 \ данных \ elasticsearch \ узлы \ 0)

admin: 
    - "cn=users, dc=tavant,dc=in"

roles.yml

admin: 
    cluster: all 
    indices: 
    '*': all

ОБНОВЛЕНИЕ

Согласно предложению Jaymode, я добавил shield.auth: debug. Ниже журнал (который я думал, что было бы полезно)

[2015-04-27 11:54:12][DEBUG][shield.authc.ldap.support] [Talisman] the roles [[]], are mapped from these [active_directory] groups [[CN=Users,CN=Builtin,DC=tavant,DC=in, CN=Domain Users,CN=Users,DC=tavant,DC=in, 
    [2015-04-27 11:54:14,935][DEBUG][shield.authc.activedirectory] [Talisman] authenticated user [shivang.Mittal], with roles [[]] 
    [2015-04-27 11:54:16,447][ERROR][marvel.agent.exporter ] [Talisman] error adding the marvel template to [[0:0:0:0:0:0:0:0]:9200] response code [401 Unauthorized]. content: [{"error":"AuthenticationException[missing authentication token for REST request [/_template/marvel]]","status":401}] 
    [2015-04-27 11:54:16,447][ERROR][marvel.agent.exporter ] [Talisman] failed to verify/upload the marvel template to [[0:0:0:0:0:0:0:0]:9200]: 
    Server returned HTTP response code: 401 for URL: http://[0:0:0:0:0:0:0:0]:9200/_template/marvel 
[2015-04-27 11:54:16,447][ERROR][marvel.agent.exporter ] [Talisman] failed to verify/upload the marvel template to [[0:0:0:0:0:0:0:0]:9200]: 
Server returned HTTP response code: 401 for URL: http://[0:0:0:0:0:0:0:0]:9200/_template/marvel

источник

2015-04-24 Shivang MIttal

ответ

3

EDIT 2: На основании сообщения журнала, вы, вероятно, хотите использовать следующее отображение

admin: 
    - "CN=Users,CN=Builtin,DC=tavant,DC=in"

EDIT: Кажется, я вижу твою проблему. В вашем role_mapping.yml у вас есть:

admin: 
    - "cn=users, dc=tavant,dc=tavant"

Она должна, скорее всего, будет:

admin: 
    - "cn=users,dc=tavant,dc=in"

Интересно, если DN используется для отображения ролей является правильным и для его извлечения. Если вы установили ведение журнала отладки, будет зарегистрирован список групп, которые будут найдены для пользователя. Чтобы включить ведение журнала отладки, редактирования C: \ ES \ elasticsearch-1.4.4 \ Config \ logging.yml Файл:

... 
logger: 
    # Add the line below 
    shield.authc: DEBUG 
...

Строка журнала будет выглядеть примерно так: the roles [], are mapped from these [active_directory] groups [ list of group DNs here ] for realm [active_directory/active_directory]

В этой строке найдет фактический список удаленных DN групп. Кроме того, конфигурация области может быть упрощена следующим образом:

shield: 
    authc: 
    realms: 
     active_directory: 
     type: active_directory 
     domain_name: tavant.in 
     url: "LDAP://DODC1.tavant.in:389"

Остальные настройки на самом деле, по всей видимости просто указать, какие бы значение по умолчанию, если они не указаны.

источник

2015-04-24 18:25:05 jaymode

+0

Спасибо за ответ jay, я случайно написал dc = tavant в вопросе, в настройках он только dc =. отредактировал мой вопрос. –

+0

Я попробовал предложение. В журнале ошибок отображается аутентификация пользователя. Пожалуйста, посмотрите обновленный вопрос. –

+0

@ShivangMIttal Я отредактировал ответ с чем-то, что должно работать сейчас. Я забыл о части _Builtin_ DN. – jaymode

Смежные вопросы

 Смежные вопросы