AD / LDAP воздушного потока superuser_filter против data_profiler_filter - PullRequest
Новая
       33

AD / LDAP воздушного потока superuser_filter против data_profiler_filter

0 голосов
/ 05 июля 2018

Я в процессе настройки доступа администратора к Airflow, но меня смущает разница между superuser_filter и data_profiler_filter .

  1. Если я не установлю ни одно из этих двух значений, то каждый в моем AD / LDAP сможет войти в Airflow и просмотреть / использовать все функции администратора. Это ожидаемое поведение по умолчанию, которое работает.
  2. Если я только установлю superuser_filter , то администраторы могут просматривать кнопку администратора, но только Пулы , Конфигурация , Пользователи , * Появляются функции 1018 * Подключения и XComs (Не функция Переменные ).
  3. Если я только установлю data_profiler_filter , то администраторы могут просматривать кнопку администратора, но появляется только функция Переменные .
  4. Если я установлю и , то superuser_filter и data_profiler_filter (в одно и то же значение группы администраторов) например., superuser_filter = memberOf=CN=ADMINTEAM,OU=SvcAccts,DC=us,DC=ae,DC=com data_profiler_filter = memberOf=CN=ADMINTEAM,OU=SvcAccts,DC=us,DC=ae,DC=com) тогда никто в моей AD / LDAP (включая администраторов) не сможет просмотреть кнопку администратора; Мне интересно, если это потому, что мне нужны две отдельные группы для этих двух значений фильтра, а не одно значение группы для обоих?

Может кто-нибудь, пожалуйста, помогите мне различить эти два значения и как они должны быть установлены? Кроме того, чтобы расширить мой комментарий в номере четыре выше , документация использует два различных групповых значения для этих двух фильтров ( airflow-super-user и airflow-data-profilers ), означает ли это, что вы не можете использовать одно и то же значение группы для двух фильтров? Например, у меня есть одна группа администратора Airflow ( ADMINTEAM ), и я хотел бы иметь возможность использовать ее для обоих значений, если это возможно, но, похоже, это не сработает, похоже, что требуется два разных групповые значения.

Airflow.cfg Конфигурация LDAP 

[ldap]
# set a connection without encryption: uri = ldap://<your.ldap.server>:<port>
uri = ldap://123.456.789:123
user_filter = objectclass=*
# in case of Active Directory you would use: user_name_attr = sAMAccountName
user_name_attr = sAMAccountName
# group_member_attr should be set accordingly with *_filter
# eg :
#     group_member_attr = groupMembership
#     superuser_filter = groupMembership=CN=airflow-super-users...

superuser_filter = memberOf=CN=ADMINTEAM,OU=foo,DC=us,DC=bar,DC=com
data_profiler_filter = memberOf=CN=ADMINTEAM,OU=foo,DC=us,DC=bar,DC=com

group_member_attr = member
group_name_attr = CN
group_filter = objectclass=group
bind_user = CN=blah,OU=foo,DC=us,DC=bar,DC=com
bind_password = yahoo
basedn = DC=us,DC=bar,DC=com
# Set search_scope to one of them:  BASE, LEVEL , SUBTREE
# Set search_scope to SUBTREE if using Active Directory, and not specifying an Organizational Unit
search_scope = SUBTREE
...