rancher2.x如何配置AD域認(rèn)證

這篇文章給大家分享的是有關(guān)rancher2.x如何配置AD域認(rèn)證的內(nèi)容。小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過(guò)來(lái)看看吧。

如果您的組織使用Microsoft Active Directory作為統(tǒng)一用戶管理系統(tǒng)，則Rancher可以集成Active Directory服務(wù)以進(jìn)行統(tǒng)一身份驗(yàn)證。Rancher根據(jù)Active Directory管理的用戶和組來(lái)控制對(duì)集群和項(xiàng)目的訪問(wèn)，同時(shí)允許最終用戶在登錄Rancher UI時(shí)使用其AD憑據(jù)進(jìn)行身份驗(yàn)證。

Rancher使用LDAP與Active Directory服務(wù)通信。因此，Active Directory的身份驗(yàn)證流程與 OpenLDAP身份驗(yàn)證集成方法相同。

注意 在開(kāi)始之前，請(qǐng)熟悉 外部身份驗(yàn)證配置和主要用戶的概念。

先決條件

您需要通過(guò)AD管理員創(chuàng)建或獲取新的AD用戶，以用作Rancher的服務(wù)帳戶。此用戶必須具有足夠的權(quán)限才能執(zhí)行LDAP搜索并讀取AD域下的用戶和組的屬性。

通常應(yīng)該使用域用戶帳戶(非管理員)來(lái)實(shí)現(xiàn)此目的，因?yàn)槟J(rèn)情況下此用戶對(duì)域中的大多數(shù)對(duì)象具有只讀權(quán)限。

但請(qǐng)注意，在某些鎖定的Active Directory配置中，此默認(rèn)行為可能不適用。在這種情況下，您需要確保服務(wù)帳戶用戶至少具有在基本OU(封閉用戶和組)上授予的讀取和列出內(nèi)容權(quán)限，或者全局授予域。

使用TLS？ 如果AD服務(wù)器使用的證書(shū)是自簽名的，或者不是來(lái)自公認(rèn)的證書(shū)頒發(fā)機(jī)構(gòu)，請(qǐng)確保手頭有PEM格式的CA證書(shū)(與所有中間證書(shū)連接)。您必須在配置期間設(shè)置此證書(shū)，以便Rancher能夠驗(yàn)證證書(shū)。

選擇 AD 認(rèn)證

1. 使用本地admin帳戶登錄Rancher UI 。

2. 從全局視圖中，導(dǎo)航到安全>認(rèn)證。

3. 選擇Active Directory，配置AD認(rèn)證參數(shù)。

配置 AD 服務(wù)器

在標(biāo)題為配置Active Directory服務(wù)器的部分中，填寫(xiě)特定于Active Directory服務(wù)的配置信息。有關(guān)每個(gè)參數(shù)所需值的詳細(xì)信息，請(qǐng)參閱下表。

注意 如果您不確定要在 用戶/組 搜索庫(kù)字段中輸入什么值, 請(qǐng)查看 使用ldapsearch識(shí)別Search-Base和架構(gòu)。

表1：AD 服務(wù)器參數(shù)

自定義架構(gòu)（可選)

注意 如果您的AD服務(wù)器為標(biāo)準(zhǔn)配置，那可以跳過(guò)此步驟

在標(biāo)題為自定義架構(gòu)部分中，您必須為Rancher提供與目錄中使用的模式相對(duì)應(yīng)的用戶和組屬性的正確配置。

Rancher使用LDAP查詢來(lái)搜索和檢索有關(guān)Active Directory中的用戶和組的信息，本節(jié)中配置的屬性映射用于構(gòu)建搜索過(guò)濾器并解析組成員身份。因此，提供的設(shè)置反映AD域的實(shí)際情況至關(guān)重要。

注意 如果您不熟悉Active Directory域中使用的架構(gòu)，請(qǐng)參閱使用ldapsearch識(shí)別搜索庫(kù)和架構(gòu)以確定正確的配置值。

用戶架構(gòu)

下表詳細(xì)介紹了用戶架構(gòu)部分配置的參數(shù)。

表2：用戶架構(gòu)配置參數(shù)

組架構(gòu)

下表詳細(xì)說(shuō)明了組架構(gòu)配置的參數(shù)。

表3: 組架構(gòu)配置參數(shù)

使用ldapsearch識(shí)別Search Base和架構(gòu)

為了成功配置AD身份驗(yàn)證，您必須提供與AD服務(wù)器的層次結(jié)構(gòu)和架構(gòu)相關(guān)的正確配置。

該ldapsearch工具可以幫助您查詢AD服務(wù)器用戶和組對(duì)象的模式。

處于演示的目的，我們假設(shè):

• Active Directory服務(wù)器的主機(jī)名為ad.acme.com。

• 服務(wù)器正在偵聽(tīng)端口上的未加密連接389。

• Active Directory域是acme

• 擁有一個(gè)有效的AD帳戶，其中包含用戶名jdoe和密碼secret

識(shí)別 Search Base

首先，我們將使用ldapsearch來(lái)識(shí)別用戶和組的父節(jié)點(diǎn)的專有名稱(DN)：

ldapsearch -x -D "acme\jdoe" -w "secret" -p 389 \
-h ad.acme.com -b "dc=acme,dc=com" -s sub "sAMAccountName=jdoe"

此命令執(zhí)行LDAP搜索，search base設(shè)置為根域(-b "dc=acme,dc=com")，過(guò)濾器以用戶(sAMAccountNam=jdoe)為目標(biāo)，返回所述用戶的屬性：

由于在這種情況下用戶的DN是CN=John Doe,CN=Users,DC=acme,DC=com[5]，我們應(yīng)該使用父節(jié)點(diǎn)DN配置用戶Search BaseCN=Users,DC=acme,DC=com。

類似地，基于memberOf屬性[4]中引用的組的DN，組Search Base的正確值應(yīng)該是該值的父節(jié)點(diǎn)，即:OU=Groups,DC=acme,DC=com。

識(shí)別用戶架構(gòu)

上述ldapsearch查詢的輸出結(jié)果還可以確定用戶架構(gòu)的配置：

• Object Class: person [1]

• Username Attribute: name [2]

• Login Attribute: sAMAccountName [3]

• User Member Attribute: memberOf [4]

注意 如果組織中的AD用戶使用他們的UPN(例如jdoe@acme.com )而不是短登錄名進(jìn)行身份驗(yàn)證，那么我們必須將Login Attribute設(shè)置為userPrincipalName。
還可以Search Attribute參數(shù)設(shè)置為sAMAccountName | name。這樣，通過(guò)輸入用戶名或全名，可以通過(guò)Rancher UI將用戶添加到集群/項(xiàng)目中。

識(shí)別組架構(gòu)

接下來(lái)，我們查詢與此用戶關(guān)聯(lián)的一個(gè)組，在這種情況下CN=examplegroup,OU=Groups,DC=acme,DC=com：

ldapsearch -x -D "acme\jdoe" -w "secret" -p 389 \
-h ad.acme.com -b "ou=groups,dc=acme,dc=com" \
-s sub "CN=examplegroup"

以上命令將顯示組對(duì)象的屬性：

• Object Class: group [1]

• Name Attribute: name [2]

• Group Member Mapping Attribute: member [3]

• Search Attribute: sAMAccountName [4]

查看成員屬性值，我們可以看到它包含引用用戶的DN。這對(duì)應(yīng)用戶對(duì)象中的distinguishedName屬性。因此必須將Group Member User Attribute參數(shù)的值設(shè)置為此屬性值。以同樣的方式，我們可以觀察到用戶對(duì)象中memberOf屬性中的值對(duì)應(yīng)于組的distinguishedName [5]。因此，我們需要將Group DN Attribute參數(shù)的值設(shè)置為此屬性值。

測(cè)試認(rèn)證

完成配置后，繼續(xù)測(cè)試與AD服務(wù)器的連接。如果測(cè)試成功，將隱式啟用使用已配置的Active Directory進(jìn)行身份驗(yàn)證。

注意 與在此步驟中輸入的憑據(jù)相關(guān)的AD用戶將映射到本地主體帳戶并在Rancher中分配管理員權(quán)限。因此，您應(yīng)該有意識(shí)地決定使用哪個(gè)AD帳戶執(zhí)行此步驟。

1. 輸入應(yīng)映射到本地主帳戶的AD帳戶的用戶名和密碼。

2. 單擊使用Active Directory進(jìn)行身份驗(yàn)證以完成設(shè)置。

注意 如果LDAP服務(wù)中斷，您可以使用本地帳戶和密碼登錄。

感謝各位的閱讀！關(guān)于“rancher2.x如何配置AD域認(rèn)證”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！