文档首页/ MapReduce服务 MRS/ 用户指南/ MRS集群运维/ MRS集群安全配置/ MRS集群安全加固/ 配置受信任IP地址访问集群LDAP
更新时间:2025-08-09 GMT+08:00
查看PDF
分享

配置受信任IP地址访问集群LDAP

默认情况下,部署在OMS和MRS集群中的LDAP服务允许任意IP访问。如果需要只允许受信任的IP地址访问LDAP服务,可以配置iptables过滤列表的INPUT策略。

约束与限制

该章节仅适用于MRS 3.x及之后版本。

对系统的影响

配置受信任IP访问LDAP以后,未配置的IP无法访问LDAP。扩容前,新增加的IP需要配置为受信任的IP。

前提条件

  • 已联系集群管理员收集集群内全部节点的IP地址和所有浮动IP地址。
  • 已获取集群内节点的root用户密码。

配置受信任IP地址访问LDAP

配置OMS LDAP信任的IP地址

  1. 登录MRS集群Manager界面。

    登录集群Manager具体操作,请参考访问MRS集群Manager

  2. 选择系统 > OMS,在“服务”选择oldap > 修改配置,查看OMS LDAP端口号,即“Ldap服务监听端口”参数值,默认为“21750”。
  3. root用户登录主管理节点。

    如何查看集群主OMS节点可参考查看MRS集群主备管理节点

  4. 执行以下命令,查看iptables过滤列表中INPUT策略。 

    iptables -L

    例如未配置任何规则时,INPUT策略显示如下:

    Chain INPUT (policy ACCEPT) 
target     prot opt source               destination

  5. 执行以下命令,将集群使用的所有IP地址配置为受信任的IP,每个IP需要添加一次。 

    iptables -A INPUT -s 受信任IP地址 -p tcp --dport 端口号 -j ACCEPT

    例如,将10.0.0.1配置为受信任的IP,可以访问端口21750,执行:

    iptables -A INPUT -s 10.0.0.1 -p tcp --dport 21750 -j ACCEPT

  6. 执行以下命令,将全部IP地址配置为不受信任的IP,已配置为信任IP不受此规则影响。 

    iptables -A INPUT -p tcp --dport 端口号 -j DROP

    例如,配置全部IP不能访问端口21750,执行:

    iptables -A INPUT -p tcp --dport 21750 -j DROP

  7. 执行以下命令,查看iptables过滤列表中修改后INPUT策略。 

    iptables -L

    例如配置一个受信任IP后,INPUT策略显示如下:

    Chain INPUT (policy ACCEPT) 
target     prot opt source               destination          
ACCEPT     tcp  --  10.0.0.1             anywhere            tcp dpt:21750 
DROP       tcp  --  anywhere             anywhere            tcp dpt:21750

  8. 执行以下命令,查看iptables过滤列表中存在的规则及相对应的编号。

    iptables -L -n --line-number

    Chain INPUT (policy ACCEPT) 
num target     prot opt source               destination          
1   DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21750

  9. 根据实际需求,可执行以下命令,删除iptables过滤列表中的规则。 

    iptables -D INPUT 待删除的编号

    例如,删除编号为1的规则,执行:

    iptables -D INPUT 1

  10. root用户通过备管理节点的IP地址登录备管理节点,并重复步骤 4步骤 9

配置集群LDAP信任的IP地址

  1. 登录MRS集群Manager界面。

    登录集群Manager界面请参考访问MRS集群Manager

  2. 选择“集群 > 服务 > LdapServer > 实例”,查看LDAP服务对应的节点。
  3. 切换到“配置”,查看集群LDAP端口号,即“LDAP_SERVER_PORT”参数值,默认为“21780”。
  4. root用户通过LDAP服务的IP地址登录LDAP节点。
  5. 执行以下命令,查看iptables过滤列表中INPUT策略。 

    iptables -L

    例如未配置任何规则时,INPUT策略显示如下:

    Chain INPUT (policy ACCEPT) 
target     prot opt source               destination

  6. 执行以下命令,将集群使用的所有IP地址配置为受信任的IP。每个IP地址需要添加一次。 

    iptables -A INPUT -s 受信任IP地址 -p tcp --dport 端口号 -j ACCEPT

    例如,将10.0.0.1配置为受信任的IP,可以访问端口21780,执行:

    iptables -A INPUT -s 10.0.0.1 -p tcp --dport 21780 -j ACCEPT

  7. 执行以下命令,将全部IP地址配置为不受信任的IP,已配置为信任IP不受此规则影响。 

    iptables -A INPUT -p tcp --dport 端口号 -j DROP

    例如,配置全部IP不能访问端口21780,执行:

    iptables -A INPUT -p tcp --dport 21780 -j DROP

  8. 执行以下命令,查看iptables过滤列表中修改后INPUT策略。 

    iptables -L

    例如配置一个受信任IP后,INPUT策略显示如下:

    Chain INPUT (policy ACCEPT) 
target     prot opt source               destination          
ACCEPT     tcp  --  10.0.0.1             anywhere            tcp dpt:21780 
DROP       tcp  --  anywhere             anywhere            tcp dpt:21780

  9. 执行以下命令,查看iptables过滤列表中存在的规则及相对应的编号。 

    iptables -L -n --line-number

    执行结果如下:

    Chain INPUT (policy ACCEPT) 
num target     prot opt source               destination          
1   DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21780

  10. 根据实际需求,可执行以下命令,删除iptables过滤列表中的规则。 

    iptables -D INPUT 待删除的编号

    例如,删除编号为1的规则,执行:

    iptables -D INPUT 1

  11. root用户通过另一个LDAP服务的IP地址登录LDAP节点,并重复步骤 15步骤 20
父主题: MRS集群安全加固