Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Настройка доступа до OpenSearch c использованием LDAP

В данном разделе описывается процедура использования провайдера идентификации в StarVault по протоколу LDAP для доступа к OAuth приложению OpenSearch.

1. Необходимые условия

  • У вас есть токен доступа к хранилищу секретов StarVault с привилегиями root.

  • Модуль OpenSearch установлен в вашем кластере.

  • У вас есть доступ в OpenSearch с учетной записью, имеющей роль admin.

  • Провайдер идентификации LDAP подключен в StarVault.

2. Настройка доступа в StarVault

  1. В веб-интерфейсе StarVault выберите вкладку Access, далее Groups.

  2. Создайте группу и alias.

    • Нажмите Create group.

      • В поле Name укажите имя группы так же, как группа названа в каталоге LDAP-сервера.

      • В поле Type укажите External.

      • Нажмите Create, чтобы создать группу. Откроется страница с параметрами созданной группы.

    • Нажмите Add alias.

      • В поле Name укажите имя алиаса так же, как группа названа в каталоге LDAP-сервера.

      • В поле Auth Backend выберете имя метода аутентификации LDAP.

      • Нажмите Create, чтобы создать alias.

    Для удобства и простоты администрирования рекомендуется использовать один alias на одну сущность StarVault.

  3. В веб-интерфейсе StarVault перейдите на вкладку Access → OIDC Provider → Assignments.

  4. Нажмите Create assignment.

    • В поле Name укажите любое имя, например название приложения, к которому предоставляется доступ.

    • В поле Groups выберите группу созданную ранее.

    • Нажмите Create.

  5. Перейдите на вкладку Access → OIDC Provider → Applications.

    • Выберите нужное приложение - oidc-auth-opensearch.

    • Нажмите Edit application.

    • В поле Assignment name выберите ранее созданный Assignment.

    • Нажмите Update.

3. Настройка доступа в OpenSearch

  1. В веб-интерфейсе OpenSearch перейдите на вкладку Management → Security → Roles.

  2. Вы можете создать новую роль или использовать уже существующую. Если используете существующую – нажмите на нее.

  3. В настройках роли на вкладке Mapped users нажмите на Map user и добавьте Backend role (имя созданной в StarVault группы).

Вы также можете использовать существующие backend-роли. Для этого имя группы должно быть таким же, как и имя backend-роли.

4. Проверка

  1. Зайдите в веб-интерфейс OpenSearch с использованием LDAP подключения.

  2. В правом-верхнем углу нажмите на иконку пользователя и нажмите на кнопку View roles and identities.

  3. Убедитесь, что Roles и Backend roles соответствуют тому, что вы настраивали.