操作場景

默認情況下，部署在OMS和集群中的LDAP服務允許任意IP訪問。如果需要只允許受信任的IP地址訪問LDAP服務，可以配置iptables過濾列表的INPUT策略。

對系統的影響

配置受信任IP訪問LDAP以后，未配置的IP無法訪問LDAP。擴容前，新增加的IP需要配置為受信任的IP。

前提條件

• 根據安裝規劃，收集集群內全部節點的管理平面IP、業務平面IP和所有浮動IP。
• 獲取集群內節點的root用戶和密碼。

操作步驟

配置OMS LDAP信任的IP地址

1.確定管理節點IP地址，請參見登錄管理節點。

2.登錄FusionInsight Manager，請參見登錄管理系統。

3.選擇“系統 > OMS”，在“服務”選擇“oldap > 修改配置”，查看OMS LDAP端口號，即“Ldap服務監聽端口”參數值。默認為“21750”。

4.以root用戶通過主管理節點的IP地址登錄主管理節點。

5.執行以下命令，查看iptables過濾列表中INPUT策略。

iptables -L

例如未配置任何規則時，INPUT策略顯示如下：

Chain INPUT (policy ACCEPT)  
target     prot opt source               destination        

6.執行以下命令，將集群使用的所有IP地址配置為受信任的IP。每個IP需要添加一次。

iptables -A INPUT -s 受信任IP地址 -p tcp --dport 端口號 -j ACCEPT

例如，將10.0.0.1配置為受信任的IP，可以訪問端口21750，執行：

iptables -A INPUT -s 10.0.0.1 -p tcp --dport 21750 -j ACCEPT

7.執行以下命令，將全部IP地址配置為不受信任的IP。已配置為信任IP不受此規則影響。

iptables -A INPUT -p tcp --dport 端口號 -j DROP

例如，配置全部IP不能訪問端口21750，執行：

iptables -A INPUT -p tcp --dport 21750 -j DROP

8.執行以下命令，查看iptables過濾列表中修改后INPUT策略。

iptables -L

例如配置一個受信任IP后，INPUT策略顯示如下：

Chain INPUT (policy ACCEPT)  
target     prot opt source               destination       
ACCEPT     tcp  --  10.0.0.1             anywhere            tcp dpt:21750  
DROP       tcp  --  anywhere             anywhere            tcp dpt:21750   

9.執行以下命令，查看iptables過濾列表中存在的規則及相對應的編號。

iptables -L -n --line-number

Chain INPUT (policy ACCEPT)  
num target     prot opt source               destination       
1   DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21750   

10.根據實際需求，可執行以下命令，刪除iptables過濾列表中的規則。

iptables -D INPUT 待刪除的編號

例如，刪除編號為1的規則，執行：

iptables -D INPUT 1

11.以root用戶通過備管理節點的IP地址登錄備管理節點，并重復5到10。

配置集群LDAP信任的IP地址

12.登錄FusionInsight Manager。

13.選擇“集群 > 待操作集群的名稱 > 服務 > LdapServer > 實例”，查看LDAP服務對應的節點。

14.切換到“配置”，查看集群LDAP端口號，即“LDAP_SERVER_PORT”參數值。默認為“21780”。

15.以root用戶通過LDAP服務的IP地址登錄LDAP節點。

16.執行以下命令，查看iptables過濾列表中INPUT策略。

iptables -L

例如未配置任何規則時，INPUT策略顯示如下：

Chain INPUT (policy ACCEPT)  
target     prot opt source               destination        

17.執行以下命令，將集群使用的所有IP地址配置為受信任的IP。每個IP需要添加一次。

iptables -A INPUT -s 受信任IP地址 -p tcp --dport 端口號 -j ACCEPT

例如，將10.0.0.1配置為受信任的IP，可以訪問端口21780，執行：

iptables -A INPUT -s 10.0.0.1 -p tcp --dport 21780 -j ACCEPT

18.執行以下命令，將全部IP地址配置為不受信任的IP。已配置為信任IP不受此規則影響。

iptables -A INPUT -p tcp --dport 端口號 -j DROP

例如，配置全部IP不能訪問端口21780，執行：

iptables -A INPUT -p tcp --dport 21780 -j DROP

19.執行以下命令，查看iptables過濾列表中修改后INPUT策略。

iptables -L

例如配置一個受信任IP后，INPUT策略顯示如下：

Chain INPUT (policy ACCEPT)  
target     prot opt source               destination       
ACCEPT     tcp  --  10.0.0.1             anywhere            tcp dpt:21780  
DROP       tcp  --  anywhere             anywhere            tcp dpt:21780   

20.執行以下命令，查看iptables過濾列表中存在的規則及相對應的編號。

iptables -L -n --line-number

Chain INPUT (policy ACCEPT)  
num target     prot opt source               destination       
1   DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21780   

21.根據實際需求，可執行以下命令，刪除iptables過濾列表中的規則。

iptables -D INPUT 待刪除的編號

例如，刪除編號為1的規則，執行：

iptables -D INPUT 1

22.以root用戶通過另一個LDAP服務的IP地址登錄LDAP節點，并重復16到21。