配置受信任IP访问LDAP
操作场景
默认情况下,部署在OMS和集群中的LDAP服务允许任意IP访问。如果需要只允许受信任的IP地址访问LDAP服务,可以配置iptables过滤列表的INPUT策略。
对系统的影响
配置受信任IP访问LDAP以后,未配置的IP无法访问LDAP。扩容前,新增加的IP需要配置为受信任的IP。
前提条件
- 根据安装规划,收集集群内全部节点的管理平面IP、业务平面IP和所有浮动IP。
- 获取集群内节点的root用户和密码。
操作步骤
配置OMS LDAP信任的IP地址
- 确定管理节点IP地址,请参见登录管理节点。
- 登录FusionInsight Manager,请参见登录管理系统。
- 选择 ,在“服务”选择 ,查看OMS LDAP端口号,即“Ldap服务监听端口”参数值。默认为“21750”。
- 以root用户通过主管理节点的IP地址登录主管理节点。
- 执行以下命令,查看iptables过滤列表中INPUT策略。
iptables -L
例如未配置任何规则时,INPUT策略显示如下:
Chain INPUT (policy ACCEPT) target prot opt source destination
- 执行以下命令,将集群使用的所有IP地址配置为受信任的IP。每个IP需要添加一次。
iptables -A INPUT -s 受信任IP地址 -p tcp --dport 端口号 -j ACCEPT
例如,将10.0.0.1配置为受信任的IP,可以访问端口21750,执行:
iptables -A INPUT -s 10.0.0.1 -p tcp --dport 21750 -j ACCEPT
- 执行以下命令,将全部IP地址配置为不受信任的IP。已配置为信任IP不受此规则影响。
iptables -A INPUT -p tcp --dport 端口号 -j DROP
例如,配置全部IP不能访问端口21750,执行:
iptables -A INPUT -p tcp --dport 21750 -j DROP
- 执行以下命令,查看iptables过滤列表中修改后INPUT策略。
iptables -L
例如配置一个受信任IP后,INPUT策略显示如下:
Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- 10.0.0.1 anywhere tcp dpt:21750 DROP tcp -- anywhere anywhere tcp dpt:21750
- 执行以下命令,查看iptables过滤列表中存在的规则及相对应的编号。
iptables -L -n --line-number
Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21750
- 根据实际需求,可执行以下命令,删除iptables过滤列表中的规则。
iptables -D INPUT 待删除的编号
例如,删除编号为1的规则,执行:
iptables -D INPUT 1
- 以root用户通过备管理节点的IP地址登录备管理节点,并重复5到10。
配置集群LDAP信任的IP地址
- 登录FusionInsight Manager。
- 选择“集群 > 待操作集群的名称 > 服务 > LdapServer > 实例”,查看LDAP服务对应的节点。
- 切换到“配置”,查看集群LDAP端口号,即“LDAP_SERVER_PORT”参数值。默认为“21780”。
- 以root用户通过LDAP服务的IP地址登录LDAP节点。
- 执行以下命令,查看iptables过滤列表中INPUT策略。
iptables -L
例如未配置任何规则时,INPUT策略显示如下:
Chain INPUT (policy ACCEPT) target prot opt source destination
- 执行以下命令,将集群使用的所有IP地址配置为受信任的IP。每个IP需要添加一次。
iptables -A INPUT -s 受信任IP地址 -p tcp --dport 端口号 -j ACCEPT
例如,将10.0.0.1配置为受信任的IP,可以访问端口21780,执行:
iptables -A INPUT -s 10.0.0.1 -p tcp --dport 21780 -j ACCEPT
- 执行以下命令,将全部IP地址配置为不受信任的IP。已配置为信任IP不受此规则影响。
iptables -A INPUT -p tcp --dport 端口号 -j DROP
例如,配置全部IP不能访问端口21780,执行:
iptables -A INPUT -p tcp --dport 21780 -j DROP
- 执行以下命令,查看iptables过滤列表中修改后INPUT策略。
iptables -L
例如配置一个受信任IP后,INPUT策略显示如下:
Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- 10.0.0.1 anywhere tcp dpt:21780 DROP tcp -- anywhere anywhere tcp dpt:21780
- 执行以下命令,查看iptables过滤列表中存在的规则及相对应的编号。
iptables -L -n --line-number
Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21780
- 根据实际需求,可执行以下命令,删除iptables过滤列表中的规则。
iptables -D INPUT 待删除的编号
例如,删除编号为1的规则,执行:
iptables -D INPUT 1
- 以root用户通过另一个LDAP服务的IP地址登录LDAP节点,并重复16到21。