Ограничить пользователей с ldap в воздушном потоке

Question

Ограничить пользователей с ldap в воздушном потоке

Я получил аутентификацию ldap для работы в потоке воздуха, но он позволяет любому пользователю, имеющемуся в нашем каталоге, войти в систему. Хотя он показывает только права администратора для членов группы AD airflow-admin, я бы ожидал, что пользователям, которые не являются членами групп airflow-admin или airflow-profiler, будет отказано в доступе, но это не так. Вот мой конфиг:

[webserver]
authenticate = True
auth_backend = airflow.contrib.auth.backends.ldap_auth

[ldap]
uri = ldaps://ldaps.mydomain.com:636
user_filter = objectClass=person
user_name_attr = sAMAccountName
group_member_attr = memberOf
superuser_filter = memberOf=CN=airflow-admin,OU=Users,DC=mydomain,DC=com
data_profiler_filter = memberOf=CN=airflow-profiler,OU=Users,DC=mydomain,DC=com
bind_user = cn=ldapadmin,ou=Admins,dc=mydomain,dc=com
bind_password = ******
basedn = dc=mydomain,dc=com
cacert = /usr/local/share/ca-certificates/mydomain.crt
search_scope = SUBTREE

Я вижу несколько других подобных постов без разрешения, я начинаю задумываться, работает ли это вообще. Вот ссылка на раздел документации по воздушному потоку на ldap. https://airflow.apache.org/security.html?

2

ldap airflow memberof

Источник

user4924557 04 дек '18 в 16:50

1 ответ

Решение

Другие вопросы по тегам ldap airflow memberof

user10348710 04 дек '18 в 17:27 2018-12-04 17:27 · Accepted Answer · 2018-12-04 17:27

Вы пытались отфильтровать их через user_filter?

Следующее должно только разрешить пользователям в одной из двух упомянутых групп доступ. К сожалению, у меня нет Airflow для проверки и проверки этого.

user_filter = | (memberOf = CN = airflow-admin, OU = Пользователи,DC=mydomain,DC=com)(memberOf=CN=airflow-profiler,OU= Пользователи, DC = mydomain, DC = com)