アクティブ ディレクトリでの ElasticSearch LDAP 認証の構成方法を学習しますか? このチュートリアルでは、マイクロソフトの Windows および LDAP プロトコルからアクティブ ディレクトリを使用して、ElasticSearch ユーザーを認証する方法を示します。

• ウブンツ 18
• ウブンツ 19
• 弾性検索 7.6.2
• ウィンドウズ 2012 R2

この例では、ElastiSearch サーバーの IP アドレスは 192.168.100.7 です。

この例では、ドメイン コントローラの IP アドレスは 192.168.100.10 です。

弾性検索関連チュートリアル:

このページでは、ElasticSearch のインストールに関連するチュートリアルのリストにすばやくアクセスできます。

チュートリアルウィンドウ – ドメインコントローラファイアウォール

IP – 192.168.100.10
•オペラシステム – WINDOWS 2012 R2
• ホスト名 – テック DC01

まず、Windows ドメイン コントローラにファイアウォールルールを作成する必要があります。

このファイアウォール規則により、ElasticSearch サーバーは Active ディレクトリを照会できます。

ドメイン コントローラで、セキュリティが強化された Windows ファイアウォールという名前のアプリケーションを開きます。

新しい受信ファイアウォール規則を作成します。

zabbix active directory

[ポート] オプションを選択します。

zabbix windows firewall port

[TCP] オプションを選択します。

[特定のローカル ポート] オプションを選択します。

TCP ポート 389 を入力します。

zabbix windows firewall port ldap

[接続を許可する] オプションを選択します。

zabbix windows firewall allow connection

ドメイン オプションを確認します。

[プライベート] オプションをオンにします。

[パブリック] オプションをオンにします。

Zabbix windows firewall profile

ファイアウォール規則の説明を入力します。

windows firewall active directory

これで、必要なファイアウォールルールが作成されました。

このルールにより、エラスティックサーチ サーバーは Active ディレクトリ データベースを照会できます。

チュートリアルウィンドウ – ドメインアカウントの作成

次に、Active Directory データベースに少なくとも 2 つのアカウントを作成する必要があります。

ADMIN アカウントは、スーパーユーザーとして ElasticSearch サーバーにログインするために使用されます。

BIND アカウントは、アクティブ ディレクトリ データベースのクエリに使用されます。

ドメイン コントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター

Users コンテナ内に新しいアカウントを作成します。

Zabbix active directory account

admin という名前の新しいアカウントを作成します。

ADMIN ユーザーに設定されたパスワード: 123qwe..

このアカウントは、ElasticSearch での認証に使用されます。

active directory admin account
zabbix active directory admin properties

次の名前の新しいアカウントを作成します。

BIND ユーザーに設定されたパスワード: kamisama123..

このアカウントは、エラスティック検索でアクティブ ディレクトリを照会するために使用されます。

active directory bind account
zabbix active directory ldap bind properties

これで、必要なアクティブ ディレクトリ アカウントが作成されました。

チュートリアルウィンドウ – ドメイングループの作成

次に、Active ディレクトリ データベースに少なくとも 2 つのグループを作成する必要があります。

ドメイン コントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター

Users コンテナ内に新しいグループを作成します。

Grafana active directory group

という名前の新しいグループを作成します: エラスティックサーチスーパーユーザー。

このグループのメンバーは、ElasticSearch に対する管理権限を持ちます。

elasticsearch active directory group superuser

大事な! 管理者ユーザーを ElasticSearch スーパーユーザー グループのメンバーとして追加します。

Elasticsearch active directory administrators

という名前の新しいグループを作成します: エラスティックサーチ -ユーザー。

このグループのメンバーは、ElasticSearch サーバーに対するユーザー権限を持ちます。

Elasticsearch active directory users

これで、必要なアクティブ ディレクトリ グループが作成されました。

チュートリアルエラスティックサーチ – アクティブディレクトリでの LDAP 認証

必要なパッケージをインストールします。

Copy to Clipboard

ElasticSearch サーバーにインストールされているライセンスを確認します。

Copy to Clipboard

コマンド出力は次のとおりです。

Copy to Clipboard

この例では、ElasticSearch サーバーに基本ライセンスがインストールされています。

エラスティックサーチ サーバーで試用版ライセンスを有効にします。

Copy to Clipboard

コマンド出力は次のとおりです。

Copy to Clipboard

エラスティックサーチ サービスを停止します。

Copy to Clipboard

次の名前のエラスティックサーチ構成ファイルを編集します。

Copy to Clipboard

ファイルの末尾に次の行を追加します。

Copy to Clipboard

ここに、設定の前に元のファイルがあります。

Copy to Clipboard

ここに私たちの設定を含むファイルがあります。

Copy to Clipboard

という名前のコマンドを見つけます: エラスティックサーチキーストア

Copy to Clipboard

エラスティックサーチ サーバーは、BIND という名前のアクティブ ディレクトリ ユーザーの資格情報を格納する必要があります。

Copy to Clipboard

BIND という名前のユーザーのアクティブ ディレクトリ パスワードを入力します。

Copy to Clipboard

role_mapping.yml という名前の構成ファイルを作成します。

Copy to Clipboard

ここにファイルの内容があります。

Copy to Clipboard

正しいファイルのアクセス許可を設定します。

Copy to Clipboard

エラスティックサーチ サービスを開始します。

Copy to Clipboard

アクティブ ディレクトリの資格情報を使用して、エラスティックサーチ サーバーとの通信をテストします。

Copy to Clipboard

コマンド出力は次のとおりです。

Copy to Clipboard

おめでとう! アクティブ ディレクトリを使用するようにエラスティックサーチ認証を構成しました。