共計 3016 個字符,預(yù)計需要花費 8 分鐘才能閱讀完成。
丸趣 TV 小編給大家分享一下 Rancher2 如何實現(xiàn) OpenLDAP 認證,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!
版本支持: Rancher v2.0.5+
如果您的組織使用 LDAP 進行用戶身份驗證,則可以將 Rancher 與 OpenLDAP 服務(wù)集成,以提供統(tǒng)一的用戶身份驗證。
OpenLDAP 身份驗證流程
當(dāng)用戶嘗試使用 LDAP 賬號登錄 Rancher 時,Rancher 使用具有 搜索目錄和讀取用戶 / 組權(quán)限 的服務(wù)帳戶創(chuàng)建對 LDAP 服務(wù)器的初始綁定(賬號初始化)。
然后,Rancher 使用基于提供的用戶名和配置的屬性映射的搜索過濾器在目錄中搜索用戶。
找到用戶后,使用用戶的 DN 和提供的密碼對另一個 LDAP 綁定請求進行身份驗證。
驗證成功后,Rancher 將從用戶對象的成員資格屬性中解析組成員資格,并根據(jù)配置的用戶映射屬性執(zhí)行組搜索。
注意 在配置之前請先熟悉 外部身份驗證配置和主要用戶的概念。
先決條件
必須使用 LDAP 綁定帳戶 (也稱為服務(wù)帳戶) 配置 Rancher,以搜索和檢索用戶和組相關(guān)的 LDAP 條目。建議不要使用管理員帳戶或個人帳戶,而是在 OpenLDAP 中創(chuàng)建一個專用帳戶,對配置的搜索路徑下的用戶和組只具有只讀訪問權(quán)限(見下文)。
配置步驟打開 OpenLDAP 配置頁面
使用系統(tǒng)默認的 admin 帳戶登錄 Rancher UI。
從 全局 視圖中,導(dǎo)航到 安全 認證頁面
選擇 OpenLDAP,將顯示 配置 OpenLDAP 服務(wù)器 表單。
OpenLDAP 服務(wù)器配置
使用 TLS?如果 OpenLDAP 服務(wù)器使用的是自簽名證書,或不是來自權(quán)威的證書頒發(fā)機構(gòu),請確保有 PEM 格式的 CA 證書(與所有的中間證書連接)。您必須在配置期間設(shè)置證書,以便 Rancher 能夠驗證證書鏈。
OpenLDAP 服務(wù)器參數(shù)參數(shù)描述 Hostname 指定 OpenLDAP 服務(wù)器的主機名或 IP 地址端口指定 OpenLDAP 服務(wù)器正在偵聽的端口,未加密的 LDAP 通常使用標(biāo)準(zhǔn)端口 389,而 LDAPS 使用端口 636。TLS 選中此框以啟用基于 SSL/TLS 的 LDAP(通常稱為 LDAPS)。如果服務(wù)器使用 自簽名 / 企業(yè)簽名 的 SSL 證書,則還需要粘貼 CA 證書。服務(wù)器連接超時 Rancher 在考慮服務(wù)器不可達之前等待的持續(xù)時間(以秒為單位)。服務(wù)帳戶用于綁定、搜索和檢索 LDAP 條目的服務(wù)帳戶(DN)。服務(wù)帳號密碼服務(wù)帳戶密碼。用戶搜索起點用戶搜索起點,所有用戶都基于此 DN 以及子目錄進行搜索。例如:ou=people,dc=acme,dc=com。用戶組搜索起點用戶組搜索起點,所有用戶組都基于此 DN 以及子目錄進行搜索。如果留空,將會基于 用戶搜索起點 進行搜索。例如:ou=groups,dc=acme,dc=com。自定義架構(gòu)配置
如果您的 OpenLDAP 不是標(biāo)準(zhǔn) OpenLDAP 架構(gòu),則必須自定義架構(gòu)以匹配相應(yīng)字段。
請注意,Rancher 使用本節(jié)中配置的屬性映射來構(gòu)造搜索過濾器并解析組成員身份。因此,始終建議您驗證此處的配置是否與您的 OpenLDAP 架構(gòu)中使用的字段匹配。
如果您不熟悉 OpenLDAP 服務(wù)器中使用的 用戶 / 組 架構(gòu),請咨詢 LDAP 管理員,或參閱 Active Directory 身份驗證文檔中的使用 ldapsearch 識別搜索庫和架構(gòu)部分。
用戶架構(gòu)配置
下表詳細介紹了用戶架構(gòu)配置的參數(shù)。
參數(shù)描述對象類別域中用于用戶對象的對象類的名稱。如果已定義,則只指定對象類的名稱——不要將其包含在 LDAP 包裝器中,例如 (object > 下表詳細說明了組架構(gòu)配置的參數(shù)。
參數(shù)描述對象類別域中用于分組條目的對象類的名稱。如果已定義,則只指定對象類的名稱——不要將其包含在 LDAP 包裝器中,例如 (object >#!/bin/bash
export RANCHER_DOMAIN= rancher.yourdomain.com
export RANCHER_TOKEN= token-xxxxx:xxxx
export ACCESS_MODE= unrestricted
export CONNECTION_TIMEOUT= 5000
export LDAP_HOST= ldap.yourdomain.com
export LDAP_PORT= 636
export TLS= true
export SA_DN= uid=x,ou=x,o=x,dc=yourdomain,dc=com
export SA_PW= sa_password
export USER_SEARCHBASE= ou=x,o=x,dc=yourdomain,dc=com
export USERNAME= username
export PASSWORD= password
curl -u $RANCHER_TOKEN https://${RANCHER_DOMAIN}/v3/openLdapConfigs/openldap?action=testAndApply \
-H content-type: application/json \
-H accept: application/json \
–data-binary {ldapConfig :{ accessMode : ${ACCESS_MODE} , baseType : authConfig , connectionTimeout : ${CONNECTION_TIMEOUT} , enabled :true, groupDNAttribute : entryDN , groupMemberMappingAttribute : member , groupMemberUserAttribute : entryDN , groupNameAttribute : cn , groupObjectClass : groupOfNames , groupSearchAttribute : cn , id : openldap , labels :{cattle.io/creator : norman}, name : openldap , nestedGroupMembershipEnabled :false, port : ${LDAP_PORT} , servers :[${LDAP_HOST} ], serviceAccountDistinguishedName : ${SA_DN} , tls : ${TLS} , type : openLdapConfig , userDisabledBitMask :0, userLoginAttribute : uid , userMemberAttribute : memberOf , userNameAttribute : cn , userObjectClass : inetOrgPerson , userSearchAttribute : uid|sn|givenName , userSearchBase : ${USER_SEARCHBASE} , serviceAccountPassword : ${SA_PW} , groupSearchBase :null}, enabled :true, username : ${USERNAME} , password : ${PASSWORD} } –compressed –insecure
以上是“Rancher2 如何實現(xiàn) OpenLDAP 認證”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對大家有所幫助,如果還想學(xué)習(xí)更多知識,歡迎關(guān)注丸趣 TV 行業(yè)資訊頻道!
