溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
小編給大家分享一下Rancher2如何實現OpenLDAP認證,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!
版本支持: Rancher v2.0.5+
如果您的組織使用 LDAP 進行用戶身份驗證,則可以將 Rancher 與 OpenLDAP 服務集成,以提供統一的用戶身份驗證。
當用戶嘗試使用 LDAP 賬號登錄 Rancher 時,Rancher 使用具有 搜索目錄和讀取用戶/組權限 的服務帳戶創建對 LDAP 服務器的初始綁定(賬號初始化)。
然后,Rancher 使用基于提供的用戶名和配置的屬性映射的搜索過濾器在目錄中搜索用戶。
找到用戶后,使用用戶的 DN 和提供的密碼對另一個 LDAP 綁定請求進行身份驗證。
驗證成功后,Rancher 將從用戶對象的成員資格屬性中解析組成員資格,并根據配置的用戶映射屬性執行組搜索。
注意 在配置之前請先熟悉 外部身份驗證配置和主要用戶的概念。
必須使用 LDAP 綁定帳戶(也稱為服務帳戶)配置 Rancher,以搜索和檢索用戶和組相關的 LDAP 條目。建議不要使用管理員帳戶或個人帳戶,而是在 OpenLDAP 中創建一個專用帳戶,對配置的搜索路徑下的用戶和組只具有只讀訪問權限(見下文)。
使用系統默認的 admin 帳戶登錄 Rancher UI。
從 全局 視圖中,導航到 安全 > 認證頁面
選擇 OpenLDAP,將顯示 配置 OpenLDAP 服務器 表單。
使用 TLS? 如果 OpenLDAP 服務器使用的是自簽名證書,或不是來自權威的證書頒發機構,請確保有 PEM 格式的 CA 證書(與所有的中間證書連接)。您必須在配置期間設置證書,以便 Rancher 能夠驗證證書鏈。
| 參數 | 描述 |
|---|---|
| Hostname | 指定 OpenLDAP 服務器的主機名或 IP 地址 |
| 端口 | 指定 OpenLDAP 服務器正在偵聽的端口,未加密的 LDAP 通常使用標準端口 389,而 LDAPS 使用端口 636。 |
| TLS | 選中此框以啟用基于 SSL/TLS 的 LDAP(通常稱為 LDAPS)。如果服務器使用 自簽名/企業簽名 的 SSL 證書,則還需要粘貼 CA 證書。 |
| 服務器連接超時 | Rancher 在考慮服務器不可達之前等待的持續時間(以秒為單位)。 |
| 服務帳戶 | 用于綁定、搜索和檢索 LDAP 條目的服務帳戶(DN)。 |
| 服務帳號密碼 | 服務帳戶密碼。 |
| 用戶搜索起點 | 用戶搜索起點,所有用戶都基于此 DN 以及子目錄進行搜索。例如:ou=people,dc=acme,dc=com。 |
| 用戶組搜索起點 | 用戶組搜索起點,所有用戶組都基于此 DN 以及子目錄進行搜索。如果留空,將會基于 用戶搜索起點 進行搜索。例如:ou=groups,dc=acme,dc=com。 |
如果您的 OpenLDAP 不是標準 OpenLDAP 架構,則必須自定義架構以匹配相應字段。
請注意,Rancher 使用本節中配置的屬性映射來構造搜索過濾器并解析組成員身份。因此,始終建議您驗證此處的配置是否與您的 OpenLDAP 架構中使用的字段匹配。
如果您不熟悉 OpenLDAP 服務器中使用的 用戶/組 架構,請咨詢 LDAP 管理員,或參閱 Active Directory 身份驗證文檔中的使用 ldapsearch 識別搜索庫和架構部分。
下表詳細介紹了用戶架構配置的參數。
| 參數 | 描述 |
|---|---|
| 對象類別 | 域中用于用戶對象的對象類的名稱。如果已定義,則只指定對象類的名稱——不要將其包含在 LDAP 包裝器中,例如&(objectClass=xxxx) |
| 用戶名屬性 | 用戶屬性,其值適合作為顯示名稱。 |
| 登錄屬性 | 該屬性的值與用戶登錄 Rancher 時輸入的 用戶名 匹配,通常是 uid。 |
| 用戶成員屬性 | 包含用戶所屬組的專有名稱的用戶屬性,通常這是 memberOf 或 isMemberOf。 |
| 搜索屬性 | 當用戶輸入文本以在 UI 中添加 用戶或組 時,Rancher 會查詢 LDAP 服務器并嘗試通過此設置中提供的屬性來匹配用戶。通過使用豎線(“ |”)符號將多個屬性分開,可以指定多個屬性。 |
| 用戶啟用的屬性 | 如果您的 OpenLDAP 服務器的架構支持用戶屬性,可以對其值進行評估以確定該帳戶是禁用還是鎖定,請輸入該屬性的名稱。默認的 OpenLDAP 模式不支持此功能,并且該字段通常應留空。 |
| 禁用狀態位掩碼 | 這是 禁用/鎖定 的用戶帳戶的值。如果 User Enabled Attribute 為空,則忽略該參數。 |
下表詳細說明了組架構配置的參數。
| 參數 | 描述 |
|---|---|
| 對象類別 | 域中用于分組條目的對象類的名稱。如果已定義,則只指定對象類的名稱——不要將其包含在 LDAP 包裝器中,例如 &(objectClass=xxxx) |
| 名稱屬性 | 組屬性,其值適合于顯示名稱。 |
| 組成員用戶屬性 | user attribute 的名稱,其格式與 Group Member Mapping Attribute 中的組成員匹配 。 |
| 組成員映射屬性 | 包含組成員的組屬性的名稱。 |
| 搜索屬性 | 將組添加到 UI 中的集群或項目 時,用于構造搜索過濾器的屬性。請參閱用戶架構 Search Attribute 說明 。 |
| 組 DN 屬性 | 組屬性的名稱,其格式與用戶的組成員資格屬性中的值匹配。請參閱 User Member Attribute。 |
| 嵌套組成員 | 此設置定義 Rancher 是否搜索嵌套的組成員。僅當您的組織使用這些嵌套成員時才使用(即您具有包含其他組作為成員的組)。如果使用 Shibboleth,則禁用此選項。 |
|
以上是“Rancher2如何實現OpenLDAP認證”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
