参考至(Rancher Doc 对接 OpenLDAP 配置指南)
如果您的组织使用 LDAP 进行用户身份验证,则可以配置 Rancher 与 OpenLDAP 服务器通信以对用户进行身份验证。这使 Rancher 管理员可以对外部用户系统中的用户和组进行集群和项目的访问控制,同时允许最终用户在登录 Rancher UI 时使用其 LDAP 凭据进行身份验证。
在 Rancher 中配置 OpenLDAP
- 使用初始本地
admin帐户登录 Rancher UI - 在全局视图中,导航至安全 > 认证
- 选择 OpenLDAP。将显示配置 OpenLDAP 服务的表单。
- 最后配置允许哪些人可以登录和使用 Rancher
OpenLDAP 服务器参数
| 参数 | 描述 |
|---|---|
| 主机名 | 指定 OpenLDAP 服务器的主机名或 IP 地址。 |
| 端口 | 指定 OpenLDAP 服务器侦听连接的端口。未加密的 LDAP 通常使用标准端口 389,而 LDAPS 使用端口 636。 |
| TLS | 选中此框以启用基于 SSL / TLS 的 LDAP(通常称为 LDAPS)。如果服务器使用自签名/企业签名的证书,则还需要粘贴 CA 证书。 |
| 服务器连接超时 | Rancher 在考虑服务器不可达之前等待的持续时间(以秒为单位)。 |
| 服务帐户专有名称 | 应用于绑定,搜索和检索 LDAP 条目的用户的专有名称(DN)。 (查看先决条件)。 |
| 服务帐号密码 | 服务帐户的密码。 |
| 用户 Search Base | 输入目录树中节点的专有名称,从该节点开始搜索用户对象。所有用户都必须是此基本 DN 的后代。例如:ou=people,dc=acme,dc=com。 |
| 组 Search Base | 如果您的组所在的节点与在其下配置的User Search Base节点不同,则需要在此处提供专有名称。否则将此字段留空。例如:ou=groups,dc=acme,dc=com。 |
用户架构配置
下表详细介绍了用户架构配置的参数。
用户架构配置参数
| 参数 | 描述 |
|---|---|
| 对象类 | 域中用于用户对象的对象类的名称。如果定义,则仅指定对象类的名称 - 请勿将其放在 LDAP 包装器中,例如&(objectClass=xxxx) |
| 用户名属性 | 用户属性,其值适合作为显示名称。 |
| 登录属性 | 该属性的值与用户登录 Rancher 时输入的凭据的用户名部分匹配。通常是这样uid。 |
| 用户成员属性 | 包含用户所属组的专有名称的用户属性。通常这是memberOf或之一isMemberOf。 |
| 搜索属性 | 当用户输入文本以在 UI 中添加用户或组时,Rancher 会查询 LDAP 服务器并尝试通过此设置中提供的属性来匹配用户。可以通过使用竖线(` |
| 用户启用的属性 | 如果您的 OpenLDAP 服务器的架构支持用户属性,可以对其值进行评估以确定该帐户是禁用还是锁定,请输入该属性的名称。默认的 OpenLDAP 模式不支持此功能,并且该字段通常应留空。 |
| 禁用状态位掩码 | 这是禁用/锁定的用户帐户的值。如果用户启用的属性为空,则忽略该参数。 |
组架构配置
下表详细介绍了组架构配置的参数。
组架构配置参数
| 参数 | 描述 |
|---|---|
| 对象类别 | 域中用于组对象的对象类的名称。如果定义,则仅指定对象类的名称 - 请勿将其放在 LDAP 包装器中,例如&(objectClass=xxxx) |
| 名称属性 | 其值适合于显示名称的组属性。 |
| 组成员用户属性 | 用户属性的名称,其格式与中的组成员匹配组成员映射属性。 |
| 组成员映射属性 | 包含组成员的组属性的名称。 |
| 搜索属性 | 在向 UI 中的集群或项目添加组时用于构造搜索过滤器的属性。请参阅用户架构说明Search Attribute。 |
| 组 DN 属性 | 组属性的名称,其格式与用户的组成员资格属性中的值匹配。请参阅User Member Attribute。 |
| 嵌套组成员 | 此设置定义 Rancher 是否应解析嵌套的组成员身份。仅当您的组织使用这些嵌套成员身份时才使用(即您具有包含其他组作为成员的组)。 |
若有收获,就点个赞吧
0 人点赞
