OpenLDAP 管理 ELK 用户

由于后续要将 LDAP 的用户与 ELK 的角色进行映射，所以需先创建几个以 ELK 的角色命名的用户组。的属主，导致 Elasticsearch 启动失败。使用 Elasticsearch 的运行用户执行。出于安全考虑，LDAP 的管理员账号不在。用户运行，会改变配置文件中。配置文件中配置，而是使用。

互联网搬砖老肖

656人浏览 · 2025-04-22 16:48:23

互联网搬砖老肖 · 2025-04-22 16:48:23 发布

文章目录

一、新建 ELK 相关用户组

由于后续要将 LDAP 的用户与 ELK 的角色进行映射，所以需先创建几个以 ELK 的角色命名的用户组。

步骤如下：

创建 elk.ldif 文件并编辑内容：

vim elk.ldif

在 elk.ldif 文件中添加以下内容：

dn: ou=elk,ou=Group,dc=aex,dc=com
ou: elk
objectClass: organizationalUnit
objectClass: top

dn: cn=superuser,ou=elk,ou=Group,dc=aex,dc=com
objectClass: top
objectClass: groupOfUniqueNames
cn: superuser
uniqueMember: cn=lichunlin,ou=People,dc=aex,dc=com

dn: cn=kibana_system,ou=elk,ou=Group,dc=aex,dc=com
objectClass: top
objectClass: groupOfUniqueNames
cn: kibana_system
uniqueMember: cn=zengxiaoyan,ou=People,dc=aex,dc=com

dn: cn=logs_viewer,ou=elk,ou=Group,dc=aex,dc=com
objectClass: top
objectClass: groupOfUniqueNames
cn: logs_viewer
uniqueMember: cn=zhangsan,ou=People,dc=aex,dc=com

将 elk.ldif 文件中的内容添加到 LDAP 中：

ldapadd -x -D "cn=root,dc=aex,dc=com" -W -f elk.ldif

二、配置 Elasticsearch

2.1 修改 elasticsearch.yml 配置

为增加 LDAP 验证，需在 elasticsearch.yml文件中新增以下内容：

vim /usr/local/elk/elastic/config/elasticsearch.yml

在文件中添加：

xpack:
  security:
    authc:
      realms:
        ldap:
          ldap1:
            order: 0
            url: "ldap://192.168.0.12:389"
            bind_dn: "cn=root, dc=aex, dc=com"
            user_search:
              base_dn: "dc=aex,dc=com"
              filter: "(cn={0})"
            group_search:
              base_dn: "dc=aex,dc=com"
            files:
              role_mapping: "/usr/local/elk/elastic/config/role_mapping.yml"
            unmapped_groups_as_roles: false

出于安全考虑，LDAP 的管理员账号不在 elasticsearch.yml 配置文件中配置，而是使用 elasticsearch-keystore 进行存储。

注意事项：
使用 Elasticsearch 的运行用户执行 elasticsearch-keystore 命令，若使用 root 用户运行，会改变配置文件中 elasticsearch-keystore 的属主，导致 Elasticsearch 启动失败。

/usr/local/elk/elastic/bin/elasticsearch-keystore add xpack.security.authc.realms.ldap.ldap1.secure_bind_password

2.2 使用 API 接口建立角色和用户映射

示例 1：超级用户

接口：/_security/role_mapping/superuser
请求头：Content-Type: application/json
请求体：

{
  "roles": ["superuser"],
  "rules": { "field": {
    "groups": "cn=superuser,ou=elk,ou=Group,dc=aex,dc=com"
  } },
  "enabled": true
}

示例 2：普通用户

接口：/_security/role_mapping/logs_viewer
请求头：Content-Type: application/json
请求体：

{
  "roles": ["logs_viewer", "kibana_user"],
  "rules": { "field": {
    "groups": "cn=logs_viewer,ou=elk,ou=Group,dc=aex,dc=com"
  } },
  "enabled": true
}

可在 Kibana 上查看映射关系：
在这里插入图片描述

三、Kibana 验证用户登录

超级用户登录示例：
普通用户登录示例：
登录验证界面示例：

火山引擎 ADG 社区

火山引擎开发者社区是火山引擎打造的AI技术生态平台，聚焦Agent与大模型开发，提供豆包系列模型（图像/视频/视觉）、智能分析与会话工具，并配套评测集、动手实验室及行业案例库。社区通过技术沙龙、挑战赛等活动促进开发者成长，新用户可领50万Tokens权益，助力构建智能应用。

更多推荐

OpenClaw 本地部署完整指南（Windows + Ollama）

本文档基于实际部署经验编写，旨在帮助你在 Windows 系统上从零开始搭建 OpenClaw，并连接本地 Ollama 模型（如 Qwen2.5 或 Qwen3），使其具备完整的智能体能力。文档包含了所有关键步骤以及常见问题的解决方案。

火山引擎 ADG 社区

OpenClaw 小白安装指南（Windows版）

（类似一个能自动执行任务的AI机器人），不是游戏。API Key只保存在你本地电脑的加密文件里，不会上传到任何地方。访问：https://github.com/miaoxworld/openclaw-manager/releases。: 一键安装脚本会自动安装Node.js 22+，如果失败，手动下载安装：https://nodejs.org/：在PowerShell中，鼠标右键就是粘贴，不需要按

火山引擎 ADG 社区

飞书 × OpenClaw 接入指南：不用服务器，用长连接把机器人跑起来

这个项目存在的意义，就是把“飞书接 OpenClaw”这件事，整理成一套的配置入口，并把官方文档没覆盖到的坑集中写成排查清单。先说清楚它的角色：OpenClaw 现在已经内置官方飞书插件 @openclaw/feishu，功能更完整、维护也更及时。，说明飞书 + AI 的接入已经走通。另外，仓库也推荐了一个新项目：把 OpenClaw 变成“多 Agent 团队”，用多个 Agent 分工，Sla