Rancher2如何實現(xiàn)OpenLDAP認(rèn)證

小編給大家分享一下Rancher2如何實現(xiàn)OpenLDAP認(rèn)證，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

成都創(chuàng)新互聯(lián)總部坐落于成都市區(qū)，致力網(wǎng)站建設(shè)服務(wù)有成都網(wǎng)站設(shè)計、做網(wǎng)站、網(wǎng)絡(luò)營銷策劃、網(wǎng)頁設(shè)計、網(wǎng)站維護、公眾號搭建、小程序設(shè)計、軟件開發(fā)等為企業(yè)提供一整套的信息化建設(shè)解決方案。創(chuàng)造真正意義上的網(wǎng)站建設(shè)，為互聯(lián)網(wǎng)品牌在互動行銷領(lǐng)域創(chuàng)造價值而不懈努力！

版本支持: Rancher v2.0.5+

如果您的組織使用 LDAP 進行用戶身份驗證，則可以將 Rancher 與 OpenLDAP 服務(wù)集成，以提供統(tǒng)一的用戶身份驗證。

OpenLDAP 身份驗證流程

1. 當(dāng)用戶嘗試使用 LDAP 賬號登錄 Rancher 時，Rancher 使用具有 搜索目錄和讀取用戶/組權(quán)限 的服務(wù)帳戶創(chuàng)建對 LDAP 服務(wù)器的初始綁定(賬號初始化)。

2. 然后，Rancher 使用基于提供的用戶名和配置的屬性映射的搜索過濾器在目錄中搜索用戶。

3. 找到用戶后，使用用戶的 DN 和提供的密碼對另一個 LDAP 綁定請求進行身份驗證。

4. 驗證成功后，Rancher 將從用戶對象的成員資格屬性中解析組成員資格，并根據(jù)配置的用戶映射屬性執(zhí)行組搜索。

注意在配置之前請先熟悉 外部身份驗證配置和主要用戶的概念。

先決條件

必須使用 LDAP 綁定帳戶(也稱為服務(wù)帳戶)配置 Rancher，以搜索和檢索用戶和組相關(guān)的 LDAP 條目。建議不要使用管理員帳戶或個人帳戶，而是在 OpenLDAP 中創(chuàng)建一個專用帳戶，對配置的搜索路徑下的用戶和組只具有只讀訪問權(quán)限(見下文)。

配置步驟

打開 OpenLDAP 配置頁面

1. 使用系統(tǒng)默認(rèn)的 admin 帳戶登錄 Rancher UI。

2. 從 全局 視圖中，導(dǎo)航到 安全 > 認(rèn)證頁面

3. 選擇 OpenLDAP，將顯示 配置 OpenLDAP 服務(wù)器 表單。

OpenLDAP 服務(wù)器配置

使用 TLS？如果 OpenLDAP 服務(wù)器使用的是自簽名證書，或不是來自權(quán)威的證書頒發(fā)機構(gòu)，請確保有 PEM 格式的 CA 證書(與所有的中間證書連接)。您必須在配置期間設(shè)置證書，以便 Rancher 能夠驗證證書鏈。

OpenLDAP 服務(wù)器參數(shù)

自定義架構(gòu)配置

如果您的 OpenLDAP 不是標(biāo)準(zhǔn) OpenLDAP 架構(gòu)，則必須自定義架構(gòu)以匹配相應(yīng)字段。

請注意，Rancher 使用本節(jié)中配置的屬性映射來構(gòu)造搜索過濾器并解析組成員身份。因此，始終建議您驗證此處的配置是否與您的 OpenLDAP 架構(gòu)中使用的字段匹配。

如果您不熟悉 OpenLDAP 服務(wù)器中使用的 用戶/組架構(gòu)，請咨詢 LDAP 管理員，或參閱 Active Directory 身份驗證文檔中的使用 ldapsearch 識別搜索庫和架構(gòu)部分。

用戶架構(gòu)配置

下表詳細介紹了用戶架構(gòu)配置的參數(shù)。

用戶組架構(gòu)配置

下表詳細說明了組架構(gòu)配置的參數(shù)。

配置腳本

#!/bin/bash
export RANCHER_DOMAIN="rancher.yourdomain.com"
export RANCHER_TOKEN="token-xxxxx:xxxx"
export ACCESS_MODE="unrestricted"
export CONNECTION_TIMEOUT="5000"
export LDAP_HOST="ldap.yourdomain.com"
export LDAP_PORT="636"
export TLS="true"
export SA_DN="uid=x,ou=x,o=x,dc=yourdomain,dc=com"
export SA_PW="sa_password"
export USER_SEARCHBASE="ou=x,o=x,dc=yourdomain,dc=com"
export USERNAME="username"
export PASSWORD="password"

curl -u $RANCHER_TOKEN "https://${RANCHER_DOMAIN}/v3/openLdapConfigs/openldap?action=testAndApply" \
    -H 'content-type: application/json' \
    -H 'accept: application/json' \
    --data-binary '{"ldapConfig":{"accessMode":"'"${ACCESS_MODE}"'","baseType":"authConfig","connectionTimeout":"'"${CONNECTION_TIMEOUT}"'","enabled":true,"groupDNAttribute":"entryDN","groupMemberMappingAttribute":"member","groupMemberUserAttribute":"entryDN","groupNameAttribute":"cn","groupObjectClass":"groupOfNames","groupSearchAttribute":"cn","id":"openldap","labels":{"cattle.io/creator":"norman"},"name":"openldap","nestedGroupMembershipEnabled":false,"port":"'"${LDAP_PORT}"'","servers":["'"${LDAP_HOST}"'"],"serviceAccountDistinguishedName":"'"${SA_DN}"'","tls":"'"${TLS}"'","type":"openLdapConfig","userDisabledBitMask":0,"userLoginAttribute":"uid","userMemberAttribute":"memberOf","userNameAttribute":"cn","userObjectClass":"inetOrgPerson","userSearchAttribute":"uid|sn|givenName","userSearchBase":"'"${USER_SEARCHBASE}"'","serviceAccountPassword":"'"${SA_PW}"'","groupSearchBase":null},"enabled":true,"username":"'"${USERNAME}"'","password":"'"${PASSWORD}"'"}' --compressed --insecure

以上是“Rancher2如何實現(xiàn)OpenLDAP認(rèn)證”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學(xué)習(xí)更多知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

網(wǎng)頁題目：Rancher2如何實現(xiàn)OpenLDAP認(rèn)證
鏈接地址：http://muchs.cn/article12/ijosgc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機網(wǎng)站建設(shè)、、網(wǎng)站導(dǎo)航、定制開發(fā)、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)