如何让 DataStax 的 Cassandra 授权反对 AD 中的嵌套组?
How can I get DataStax' Cassandra to authorize against nested groups in AD?
我的客户在 Active Directory 中使用角色和嵌套功能组实施了 RBAC 模型。都还好。
我的客户现在想将功能组分配给 Cassandra 角色,但是 DataStax documentation 这里有些欠缺,我们的第一印象是嵌套组是不可能的。
求助!
一种解决方案是使用 Windows Active Directory 的 magic numbers 之一。这是部署的 dse.yaml 文件的摘录:
ldap_options:
group_search_base: OU=Groups,DC=myorg,DC=org
group_search_type: directory_search
group_search_filter: (member:1.2.840.113556.1.4.1941:={0})
group_name_attribute: cn
文档没有清楚地解释这一点,但似乎 {0} 扩展到整个专有名称 (DN),这是 group_search_filter 中给出的嵌套成员搜索所需要的。
我的客户在 Active Directory 中使用角色和嵌套功能组实施了 RBAC 模型。都还好。
我的客户现在想将功能组分配给 Cassandra 角色,但是 DataStax documentation 这里有些欠缺,我们的第一印象是嵌套组是不可能的。
求助!
一种解决方案是使用 Windows Active Directory 的 magic numbers 之一。这是部署的 dse.yaml 文件的摘录:
ldap_options:
group_search_base: OU=Groups,DC=myorg,DC=org
group_search_type: directory_search
group_search_filter: (member:1.2.840.113556.1.4.1941:={0})
group_name_attribute: cn
文档没有清楚地解释这一点,但似乎 {0} 扩展到整个专有名称 (DN),这是 group_search_filter 中给出的嵌套成员搜索所需要的。