摘要:鏡像可先推送到私有倉(cāng)庫(kù)測(cè)試發(fā)現(xiàn)鏡像有問(wèn)題鏡像以用戶運(yùn)行切換�����,賦權(quán)對(duì)參數(shù)做定制將創(chuàng)建域���,組織名稱為域管理員及管理員密碼持久化存儲(chǔ)���,本例使用已創(chuàng)建好的存儲(chǔ)系統(tǒng),其支持動(dòng)態(tài)提供�。
前言
如同Linux操作系統(tǒng)安裝完成后�����,管理員需為應(yīng)用創(chuàng)建不同的用戶,那么����,K8S/OKD/Openshift集群同樣也需如此,而在OKD/Openshift集群里��,我們可集成OpenLDAP目錄系統(tǒng)����,方法如下所示。
OpenLDAP安裝
本文使用helm安裝openldap�,首先將chars下載下來(lái)以方便查看:
git clone https://github.com/helm/charts
可選。鏡像可先推送到私有倉(cāng)庫(kù)(PS:測(cè)試發(fā)現(xiàn)latest鏡像有問(wèn)題):
docker pull osixia/openldap:1.2.1
docker tag docker.io/osixia/openldap:1.2.1 okd-lr.zyl.io:5001/osixia/openldap:1.2.1
docker push okd-lr.zyl.io:5001/osixia/openldap:1.2.1
鏡像以root用戶運(yùn)行(gosudo切換)�����,賦權(quán):
oc new-project auth-openshift
oc adm policy add-scc-to-user anyuid -z default
對(duì)openldap char參數(shù)做定制:
cd charts/stable/openldap
cp values.yaml values_cs.yaml
vi values_cs.yaml
...
env:
# LDAP將創(chuàng)建dc=zyl,dc=io域�,組織名稱為Zyl Inc.
LDAP_ORGANISATION: "Zyl Inc."
LDAP_DOMAIN: "zyl.io"
...
# Ldap域管理員(cn=admin,dc=zyl,dc=io)及config管理員(cn=admin,cn=config)密碼
adminPassword: admin
configPassword: config
# 持久化存儲(chǔ),本例使用已創(chuàng)建好的glusterfs存儲(chǔ)系統(tǒng)���,其支持動(dòng)態(tài)提供�����。
persistence:
enabled: true
storageClass: "glusterfs-app"
accessMode: ReadWriteOnce
size: 8Gi
執(zhí)行helm命令安裝:
helm install --name openldap -f values_cs.yaml .
Ldap啟動(dòng)后����,創(chuàng)建了域dc=zyl,dc=io及hdb管理員賬戶cn=admin,dc=zyl,dc=io。如下所示�����,在此域下創(chuàng)建用戶與組信息:
% oc rsh deploy/openldap
% cat > users.ldif <
配置Master使用Ldap認(rèn)證
OKD初始安裝時(shí)若未配置openshift_master_identity_providers�,則OKD默認(rèn)使用如下認(rèn)證,此認(rèn)證方式允許任何用戶登錄集群����。
% vi /etc/origin/master/master-config.yaml
...
oauthConfig:
...
identityProviders:
- challenge: true
login: true
mappingMethod: claim
name: allow_all
provider:
apiVersion: v1
kind: AllowAllPasswordIdentityProvider
...
將所有Master配置的如下段刪除:
- challenge: true
login: true
mappingMethod: claim
name: allow_all
provider:
apiVersion: v1
kind: AllowAllPasswordIdentityProvider
替換為如下段:
- challenge: true
login: true
mappingMethod: claim
name: ldap_auth
provider:
apiVersion: v1
attributes:
email:
- mail
id:
- dn
name:
- cn
preferredUsername:
- uid
bindDN: cn=admin,dc=zyl,dc=io
bindPassword: admin
insecure: true
kind: LDAPPasswordIdentityProvider
url: ldap://openldap.auth-openshift.svc.cluster.local./ou=People,dc=zyl,dc=io?uid
注意:若啟用TLS,即insecure: false���,則需提供OpenLDAP的證書(shū)���,如添加ca: my-ldap-ca.crt,而后將證書(shū)拷貝到Master上:/etc/origin/master/my-ldap-ca.crt�。
Ansible配置文件中的OSEv3.yaml加入以下段,避免升級(jí)時(shí)被還原回去�。
##### Auth
openshift_master_identity_providers:
- name: ldap_auth
challenge: true
login: true
kind: LDAPPasswordIdentityProvider
bindDN: cn=admin,dc=zyl,dc=io
bindPassword: admin
url: ldap://openldap.auth-openshift.svc.cluster.local./ou=People,dc=zyl,dc=io?uid
attributes:
id: ["dn"]
email: ["mail"]
name: ["cn"]
preferredUsername: ["uid"]
insecure: true
而后分別重啟Master節(jié)點(diǎn):
master-restart api
master-restart controllers
oc get pod -n kube-system
master-logs api api # 查看日志
master-logs controllers controllers
同步LDAP組信息到OKD上
創(chuàng)建如下文件:
cat > rfc2307_config_user_defined.yaml <
執(zhí)行如下命令同步:
% oc adm groups sync --sync-config=rfc2307_config_user_defined.yaml --confirm
group/zyl
group/admin
group/openshift_user
group/openshift_admin
openshift_admin作為管理員組、openshift_user為普通用戶組���,賦權(quán):
oc adm policy add-cluster-role-to-group cluster-admin openshift_admin
oc adm policy add-cluster-role-to-group basic-user openshift_user
登錄用戶:
oc login -uadmin -pchangeme
用戶登錄后,OKD會(huì)生成自己的用戶與LDAP對(duì)應(yīng):
% oc get groups
NAME USERS
admin admin
openshift_admin admin
openshift_user zyl
zyl zyl
% oc get users
NAME UID FULL NAME IDENTITIES
admin 3c4ae0bf-338c-11e9-b2f8-52540042814f admin ldap_auth:uid=admin,ou=People,dc=zyl,dc=io
% oc get identities
NAME IDP NAME IDP USER NAME USER NAME USER UID
ldap_auth:uid=admin,ou=People,dc=zyl,dc=io ldap_auth uid=admin,ou=People,dc=zyl,dc=io admin 3c4ae0bf-338c-11e9-b2f8-52540042814f
參考文檔
OpenLDAP Helm Chart:https://github.com/helm/chart...;
osixia/openldap:https://github.com/osixia/doc...�����;
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/33175.html
