NiFi LDAP配置全步骤指南

"nifi配置ldap全部操作流程" Apache NiFi 是一个开源的数据处理工具，它提供了数据的收集、处理和分发功能。在企业环境中，为了实现用户管理和权限控制，通常会结合 Lightweight Directory Access Protocol (LDAP) 进行集成。本操作流程将详细介绍如何在 NiFi 中配置 LDAP 以实现用户身份验证。 一、配置NiFi Managed-Authorizer 首先，我们需要在 `uxsync.properties` 文件中启用 Managed-Authorizer 并禁止匿名访问。Managed-Authorizer 是 NiFi 的内置授权管理器，它允许我们通过多种方式（包括 LDAP）来管理用户和权限。打开 `uxsync.properties` 文件，位于 `nifi-assembly\target\uxsync-1.16.1-bin\nifi-1.16.1\conf` 目录下，将以下两行配置添加或更新： 1. `nifi.security.user.authorizer=managed-authorizer`：设置用户授权器为 managed-authorizer。 2. `nifi.security.allow.anonymous.authentication=false`：禁止匿名用户登录。 二、配置Login Identity Provider 接下来，我们需要在 `login-identity-providers.xml` 文件中配置 LDAP 提供者。此文件同样位于 `conf` 目录下。首先，注释掉原有的登录身份提供者代码，然后添加以下 LDAP 配置段： ```xml <provider> <identifier>ldap-provider</identifier> <class>org.apache.nifi.ldap.LdapProvider</class> <property name="AuthenticationStrategy">SIMPLE</property> <property name="ManagerDN">uid=admin,ou=system</property> <property name="ManagerPassword">secret</property> <property name="ReferralStrategy">FOLLOW</property> <property name="ConnectTimeout">10 secs</property> <property name="ReadTimeout">10 secs</property> <property name="Url">ldap://localhost:10389</property> <property name="UserSearchBase">ou=people,dc=example,dc=com</property> <property name="UserSearchFilter">(uid={0})</property> <property name="GroupSearchBase">ou=groups,dc=example,dc=com</property> <property name="GroupSearchFilter">(uniqueMember={0})</property> <property name="GroupRoleAttribute">cn</property> </provider> ``` 这里解释一下配置项的含义： - `AuthenticationStrategy`: 设为 SIMPLE 表示使用简单的 LDAP 认证策略。 - `ManagerDN` 和 `ManagerPassword`: 分别是 LDAP 管理员的 DN（Distinguished Name）和密码，用于连接 LDAP 服务器。 - `ReferralStrategy`: 设置为 FOLLOW 表示在遇到 LDAP 引用时自动跟随。 - `ConnectTimeout` 和 `ReadTimeout`: 设置连接和读取超时时间。 - `Url`: 指定 LDAP 服务器的 URL，例如这里的 `ldap://localhost:10389`。 - `UserSearchBase` 和 `UserSearchFilter`: 定义了用于查找用户的基 DN 和过滤器。`{0}` 是一个占位符，会被用户的登录名替换。 - `GroupSearchBase` 和 `GroupSearchFilter`: 类似地，定义了查找用户所属组的基 DN 和过滤器。 - `GroupRoleAttribute`: 指定组角色属性，通常为 cn（Common Name）。 三、启动与测试 完成配置后，重启 NiFi 服务。现在，用户应该能够使用他们的 LDAP 凭证登录到 NiFi。为了测试，尝试使用 LDAP 用户账户登录，并验证是否可以正常访问和操作 NiFi 界面。 请注意，上述配置中的 `uid=admin,ou=system`、`secret` 和示例 LDAP URL `ldap://localhost:10389` 需要替换为实际的 LDAP 管理员 DN、密码以及 LDAP 服务器的地址和端口。同时，`UserSearchBase`、`UserSearchFilter`、`GroupSearchBase` 和 `GroupSearchFilter` 也需要根据你的 LDAP 结构进行调整。 通过这个配置过程，NiFi 已成功与 LDAP 集成，实现了用户的身份验证和基于 LDAP 组的权限控制。这样，组织可以更好地管理和控制对 NiFi 的访问，提高系统的安全性和管理效率。