Souhaitez-vous apprendre à configurer l’authentification ElasticSearch LDAP sur Active Directory ? Dans ce tutoriel, nous allons vous montrer comment authentifier les utilisateurs d’ElasticSearch en utilisant l’Active Directory de Microsoft Windows et le protocole LDAP.

• Ubuntu 18
• Ubuntu 19
• ElasticSearch 7.6.2
• Windows 2012 R2

Dans notre exemple, l’adresse IP du serveur ElastiSearch est 192.168.100.7.

Dans notre exemple, l’adresse IP du contrôleur de domaine est 192.168.100.10.

Tutorial Windows – Domain Controller Firewall

• IP – 192.168.100.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

Tout d’abord, nous devons créer une règle de pare-feu sur le contrôleur de domaine Windows.

Cette règle de pare-feu permettra au serveur ElasticSearch de poser des questions au Active Directory.

Sur le contrôleur de domaine, ouvrez l’application nommée Windows Firewall avec Advanced Security

Créez une nouvelle règle de pare-feu entrant.

zabbix active directory

Sélectionnez l’option PORT.

zabbix windows firewall port

Sélectionnez l’option TCP.

Sélectionnez l’option Ports locaux spécifiques.

Entrez dans le port TCP 389.

zabbix windows firewall port ldap

Sélectionnez l’option Autoriser l’option de connexion.

zabbix windows firewall allow connection

Vérifiez l’option DOMAIN.

Vérifiez l’option PRIVATE.

Vérifiez l’option PUBLIC.

Zabbix windows firewall profile

Entrez une description de la règle du pare-feu.

windows firewall active directory

Félicitations, vous avez créé la règle de pare-feu requise.

Cette règle permettra au serveur ElasticSearch de poser des questions à la base de Active Directory.

Tutorial Windows – Création de compte de domaine

Ensuite, nous devons créer au moins 2 comptes dans la base de données Active Directory.

Le compte ADMIN sera utilisé pour se connecter sur le serveur ElasticSearch sous le nom de Superuser.

Le compte BIND sera utilisé pour interroger la base de données Active Directory.

Sur le contrôleur de domaine, ouvrez l’application nommée : Utilisateurs et ordinateurs Active directory.

Créez un nouveau compte à l’intérieur du conteneur Utilisateurs.

Zabbix active directory account

Créer un nouveau compte nommé : admin

Mot de passe configuré pour l’utilisateur ADMIN: 123qwe..

Ce compte sera utilisé pour authentifier sur l’ElasticSearch.

active directory admin account
zabbix active directory admin properties

Créer un nouveau compte nommé : lier

Mot de passe configuré à l’utilisateur BIND: kamisama123.

Ce compte sera utilisé par Elasticsearch pour interroger l’Active Directory.

active directory bind account
zabbix active directory ldap bind properties

Félicitations, vous avez créé les comptes Active directory requis.

Tutorial Windows – Création de groupe domaine

Ensuite, nous devons créer au moins 2 groupes sur la base de données active de l’annuaire.

Sur le contrôleur de domaine, ouvrez l’application nommée : Utilisateurs et ordinateurs Active directory.

Créez un nouveau groupe à l’intérieur du conteneur Utilisateurs.

Radius Active directory group

Créez un nouveau groupe nommé: ElasticSearch-Superuser.

Les membres de ce groupe auront l’autorisation administrative sur l’ElasticSearch.

elasticsearch active directory group superuser

Important! Ajoutez l’utilisateur d’administration en tant que membre du groupe ElasticSearch-Superuser.

Elasticsearch active directory administrators

Créez un nouveau groupe nommé : ElasticSearch-User.

Les membres de ce groupe auront l’autorisation de l’utilisateur sur le serveur ElasticSearch.

Elasticsearch active directory users

Félicitations, vous avez créé le groupe Active directory requis.

Tutorial ElasticSearch – LDAP Authentication sur Active Directory

Installez les paquets requis.

Copy to Clipboard

Vérifier la licence installée sur le serveur ElasticSearch.

Copy to Clipboard

Voici la sortie de commande:

Copy to Clipboard

Dans notre exemple, nous avons une licence de base installée sur le serveur ElasticSearch.

Activez la licence d’essai sur le serveur ElasticSearch.

Copy to Clipboard

Voici la sortie de commande:

Copy to Clipboard

Arrêtez le service ElasticSearch.

Copy to Clipboard

Modifier le fichier de configuration ElasticSearch nommé: elasticsearch.yml

Copy to Clipboard

Ajoutez les lignes suivantes à la fin du fichier.

Copy to Clipboard

Voici le fichier d’origine, avant notre configuration.

Copy to Clipboard

Voici le fichier avec notre configuration.

Copy to Clipboard

Localiser la commande nommée: ELASTICSEARCH-KEYSTORE

Copy to Clipboard

Le serveur ElasticSearch doit stocker les informations d’identification de l’utilisateur Active Directory nommé BIND.

Copy to Clipboard

Entrez le mot de passe Active Directory pour l’utilisateur nommé BIND.

Copy to Clipboard

Créer un fichier de configuration nommé: role_mapping.yml

Copy to Clipboard

Voici le contenu du fichier.

Copy to Clipboard

Définissez les autorisations de fichier correctes.

Copy to Clipboard

Démarrez le service ElasticSearch.

Copy to Clipboard

Testez votre communication avec le serveur ElasticSearch à l’aide des informations d’identification Active Directory

Copy to Clipboard

Voici la sortie de commande:

Copy to Clipboard

félicitations! Vous avez configuré l’authentification ElasticSearch pour utiliser le Active Directory.