Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ MapReduce Service/ Guía del usuario/ Guía de operación del FusionInsight Manager (aplicable a 3.x)/ Gestión de la seguridad/ Mejoras de seguridad/ Configuración de una dirección IP de confianza para acceder a LDAP
Actualización más reciente 2023-11-20 GMT+08:00
Ver PDF

Configuración de una dirección IP de confianza para acceder a LDAP

Escenario

De forma predeterminada, cualquier dirección IP puede acceder al servicio LDAP desplegado en OMS y clúster. Para habilitar el acceso al servicio LDAP solo mediante direcciones IP de confianza, puede configurar la política INPUT en la lista de filtrado de iptables.

Impacto en el sistema

Después de la configuración, no se puede acceder al servicio LDAP mediante direcciones IP que no estén configuradas. Antes de la expansión, las direcciones IP agregadas deben configurarse como direcciones IP de confianza.

Prerrequisitos

  • Ha recopilado las direcciones IP del plano de gestión y las direcciones IP del plano de servicio de todos los nodos del clúster y todas las direcciones IP flotantes.
  • Ha obtenido la cuenta de usuario root para todos los nodos del clúster.

Procedimiento

Configuración de direcciones IP de confianza para el servicio LDAP en el OMS

  1. Inicie sesión en FusionInsight Manager.
  2. Elija System > OMS y elija oldap > Modify Configuration para ver el número de puerto de OMS LDAP, es decir, el valor de LDAP Listening Port. El número de puerto predeterminado es 21750.
  3. Inicie sesión en el nodo de gestión activo como usuario root usando la dirección IP del nodo de gestión activo.
  4. Ejecute el siguiente comando para comprobar la política INPUT en la lista de filtrado de iptables:

    iptables -L

    Por ejemplo, si no se configura ninguna regla, la política INPUT se muestra de la siguiente manera:

    Chain INPUT (policy ACCEPT) 
target     prot opt source               destination

  5. Ejecute el siguiente comando para configurar todas las direcciones IP utilizadas por el clúster como direcciones IP de confianza. Cada dirección IP necesita ser agregada independientemente.

    iptables -A INPUT -s Trusted IP address -p tcp --dport Port number -j ACCEPT

    Por ejemplo, para configurar 10.0.0.1 como una dirección IP de confianza y habilitarlo para acceder al puerto 21750 debe ejecutar el siguiente comando:

    iptables -A INPUT -s 10.0.0.1 -p tcp --dport 21750 -j ACCEPT

  6. Ejecute el siguiente comando para configurar todas las direcciones IP como direcciones IP no confiables. Las direcciones IP de confianza no se verán afectadas por esta regla.

    iptables -A INPUT -p tcp --dport Port number -j DROP

    Por ejemplo, para deshabilitar todas las direcciones IP para acceder a 21750 del puerto, ejecute el siguiente comando:

    iptables -A INPUT -p tcp --dport 21750 -j DROP

  7. Ejecute el siguiente comando para ver la política INPUT modificada en la lista de filtrado de iptables:

    iptables -L

    Por ejemplo, después de configurar una dirección IP de confianza, la política INPUT se muestra de la siguiente manera:

    Chain INPUT (policy ACCEPT) 
target     prot opt source               destination          
ACCEPT     tcp  --  10.0.0.1             anywhere            tcp dpt:21750 
DROP       tcp  --  anywhere             anywhere            tcp dpt:21750

  8. Ejecute el siguiente comando para ver las reglas y los números de regla en la lista de filtrado de iptables:

    iptables -L -n --line-number

    Chain INPUT (policy ACCEPT) 
num target     prot opt source               destination          
1   DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21750

  9. Ejecute el siguiente comando para eliminar la regla deseada de la lista de filtrado de iptables según los requisitos del sitio:

    iptables -D INPUT Number of the rule to be deleted

    Por ejemplo, para eliminar la regla 1, ejecute el siguiente comando:

    iptables -D INPUT 1

  10. Inicie sesión en el nodo de gestión en espera como usuario root utilizando la dirección IP en espera. Repita 4 a 9.

Configuración de direcciones IP de confianza para el servicio LDAP en el clúster

  1. Inicie sesión en FusionInsight Manager.
  2. Haga clic en Cluster, haga clic en el nombre del clúster deseado y elija Service > LdapServer. En la página mostrada, haga clic en Instance para ver los nodos donde se encuentran los servicios LDAP.
  3. Vaya a la página Configurations y vea el número de puerto LDAP del clúster, es decir, el valor de LDAP_SERVER_PORT. El valor predeterminado es 21780.
  4. Inicie sesión en el nodo LDAP como usuario root utilizando la dirección IP del servicio LDAP.
  5. Ejecute el siguiente comando para ver la política INPUT en la lista de filtrado de iptables:

    iptables -L

    Por ejemplo, si no se configura ninguna regla, la política INPUT se muestra de la siguiente manera:

    Chain INPUT (policy ACCEPT) 
target     prot opt source               destination

  6. Ejecute el siguiente comando para configurar todas las direcciones IP utilizadas por el clúster como direcciones IP de confianza. Cada dirección IP necesita ser agregada independientemente.

    iptables -A INPUT -s Trusted IP address -p tcp --dport Port number -j ACCEPT

    Por ejemplo, para configurar 10.0.0.1 como una dirección IP de confianza y habilitarlo para acceder al puerto 21780 debe ejecutar el siguiente comando:

    iptables -A INPUT -s 10.0.0.1 -p tcp --dport 21780 -j ACCEPT

  7. Ejecute el siguiente comando para configurar todas las direcciones IP como direcciones IP no confiables. Las direcciones IP de confianza no se verán afectadas por esta regla.

    iptables -A INPUT -p tcp --dport Port number -j DROP

    Por ejemplo, para deshabilitar todas las direcciones IP para acceder a 21780 del puerto, ejecute el siguiente comando:

    iptables -A INPUT -p tcp --dport 21780 -j DROP

  8. Ejecute el siguiente comando para ver la política INPUT modificada en la lista de filtrado de iptables:

    iptables -L

    Por ejemplo, después de configurar una dirección IP de confianza, la política INPUT se muestra de la siguiente manera:

    Chain INPUT (policy ACCEPT) 
target     prot opt source               destination          
ACCEPT     tcp  --  10.0.0.1             anywhere            tcp dpt:21780 
DROP       tcp  --  anywhere             anywhere            tcp dpt:21780

  9. Ejecute el siguiente comando para ver las reglas y los números de regla en la lista de filtrado de iptables:

    iptables -L -n --line-number

    Chain INPUT (policy ACCEPT) 
num target     prot opt source               destination          
1   DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21780

  10. Ejecute el siguiente comando para eliminar la regla deseada de la lista de filtrado de iptables según los requisitos del sitio:

    iptables -D INPUT Number of the rule to be deleted

    Por ejemplo, para eliminar la regla 1, ejecute el siguiente comando:

    iptables -D INPUT 1

  11. Inicie sesión en el nodo LDAP como usuario root usando la dirección IP de otro servicio LDAP, y repita 15 a 20.
Tema principal: Mejoras de seguridad