操作场景

默认情况下，部署在OMS和集群中的LDAP服务允许任意IP访问。如果需要只允许受信任的IP地址访问LDAP服务，可以配置iptables过滤列表的INPUT策略。

对系统的影响

配置受信任IP访问LDAP以后，未配置的IP无法访问LDAP。扩容前，新增加的IP需要配置为受信任的IP。

前提条件

• 根据安装规划，收集集群内全部节点的管理平面IP、业务平面IP和所有浮动IP。
• 获取集群内节点的root用户和密码。

操作步骤

配置OMS LDAP信任的IP地址

1.确定管理节点IP地址，请参见登录管理节点。

2.登录FusionInsight Manager，请参见登录管理系统。

3.选择“系统 > OMS”，在“服务”选择“oldap > 修改配置”，查看OMS LDAP端口号，即“Ldap服务监听端口”参数值。默认为“21750”。

4.以root用户通过主管理节点的IP地址登录主管理节点。

5.执行以下命令，查看iptables过滤列表中INPUT策略。

iptables -L

例如未配置任何规则时，INPUT策略显示如下：

Chain INPUT (policy ACCEPT)  
target     prot opt source               destination        

6.执行以下命令，将集群使用的所有IP地址配置为受信任的IP。每个IP需要添加一次。

iptables -A INPUT -s 受信任IP地址 -p tcp --dport 端口号 -j ACCEPT

例如，将10.0.0.1配置为受信任的IP，可以访问端口21750，执行：

iptables -A INPUT -s 10.0.0.1 -p tcp --dport 21750 -j ACCEPT

7.执行以下命令，将全部IP地址配置为不受信任的IP。已配置为信任IP不受此规则影响。

iptables -A INPUT -p tcp --dport 端口号 -j DROP

例如，配置全部IP不能访问端口21750，执行：

iptables -A INPUT -p tcp --dport 21750 -j DROP

8.执行以下命令，查看iptables过滤列表中修改后INPUT策略。

iptables -L

例如配置一个受信任IP后，INPUT策略显示如下：

Chain INPUT (policy ACCEPT)  
target     prot opt source               destination       
ACCEPT     tcp  --  10.0.0.1             anywhere            tcp dpt:21750  
DROP       tcp  --  anywhere             anywhere            tcp dpt:21750   

9.执行以下命令，查看iptables过滤列表中存在的规则及相对应的编号。

iptables -L -n --line-number

Chain INPUT (policy ACCEPT)  
num target     prot opt source               destination       
1   DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21750   

10.根据实际需求，可执行以下命令，删除iptables过滤列表中的规则。

iptables -D INPUT 待删除的编号

例如，删除编号为1的规则，执行：

iptables -D INPUT 1

11.以root用户通过备管理节点的IP地址登录备管理节点，并重复5到10。

配置集群LDAP信任的IP地址

12.登录FusionInsight Manager。

13.选择“集群 > 待操作集群的名称 > 服务 > LdapServer > 实例”，查看LDAP服务对应的节点。

14.切换到“配置”，查看集群LDAP端口号，即“LDAP_SERVER_PORT”参数值。默认为“21780”。

15.以root用户通过LDAP服务的IP地址登录LDAP节点。

16.执行以下命令，查看iptables过滤列表中INPUT策略。

iptables -L

例如未配置任何规则时，INPUT策略显示如下：

Chain INPUT (policy ACCEPT)  
target     prot opt source               destination        

17.执行以下命令，将集群使用的所有IP地址配置为受信任的IP。每个IP需要添加一次。

iptables -A INPUT -s 受信任IP地址 -p tcp --dport 端口号 -j ACCEPT

例如，将10.0.0.1配置为受信任的IP，可以访问端口21780，执行：

iptables -A INPUT -s 10.0.0.1 -p tcp --dport 21780 -j ACCEPT

18.执行以下命令，将全部IP地址配置为不受信任的IP。已配置为信任IP不受此规则影响。

iptables -A INPUT -p tcp --dport 端口号 -j DROP

例如，配置全部IP不能访问端口21780，执行：

iptables -A INPUT -p tcp --dport 21780 -j DROP

19.执行以下命令，查看iptables过滤列表中修改后INPUT策略。

iptables -L

例如配置一个受信任IP后，INPUT策略显示如下：

Chain INPUT (policy ACCEPT)  
target     prot opt source               destination       
ACCEPT     tcp  --  10.0.0.1             anywhere            tcp dpt:21780  
DROP       tcp  --  anywhere             anywhere            tcp dpt:21780   

20.执行以下命令，查看iptables过滤列表中存在的规则及相对应的编号。

iptables -L -n --line-number

Chain INPUT (policy ACCEPT)  
num target     prot opt source               destination       
1   DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21780   

21.根据实际需求，可执行以下命令，删除iptables过滤列表中的规则。

iptables -D INPUT 待删除的编号

例如，删除编号为1的规则，执行：

iptables -D INPUT 1

22.以root用户通过另一个LDAP服务的IP地址登录LDAP节点，并重复16到21。