Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Konfigurieren der Authentifizierung

Eine der Hauptfunktionen, die Rancher zu Kubernetes hinzufügt, ist die zentrale Benutzerauthentifizierung. Diese Funktion ermöglicht es Ihren Benutzern, ein Set von Anmeldeinformationen zu verwenden, um sich bei allen Ihren Kubernetes-Clustern zu authentifizieren.

Diese zentrale Benutzeranmeldung wird mit dem Rancher-Authentifizierungsproxy erreicht, der zusammen mit dem Rest von Rancher installiert wird. Dieser Proxy authentifiziert Ihre Benutzer und leitet deren Anfragen an Ihre Kubernetes-Cluster weiter, indem er ein Dienstkonto verwendet.

Das Konto, das zur Aktivierung des externen Anbieters verwendet wird, erhält Administratorrechte. Wenn Sie ein Testkonto oder ein Nicht-Admin-Konto verwenden, erhält dieses Konto dennoch Administratorrechte. Siehe Konfiguration der externen Authentifizierung und Hauptbenutzer, um zu verstehen, warum.

Extern vs. Lokale Beglaubigung

Der Rancher-Authentifizierungsproxy integriert sich mit den folgenden externen Authentifizierungsdiensten.

Auth-Dienst

Microsoft Active Directory

GitHub

Microsoft Azure AD

FreeIPA

OpenLDAP

Microsoft AD FS

PingIdentity

Keycloak (OIDC)

Keycloak (SAML)

Okta

Google OAuth

Shibboleth

Generic (OIDC)

Allerdings bietet Rancher auch lokale Authentifizierung an.

In den meisten Fällen sollten Sie einen externen Authentifizierungsdienst der lokalen Authentifizierung vorziehen, da die externe Authentifizierung die Benutzerverwaltung von einem zentralen Ort aus ermöglicht. Sie möchten jedoch möglicherweise einige lokale Authentifizierungsbenutzer haben, um Rancher unter seltenen Umständen zu verwalten, z. B. wenn Ihr externer Authentifizierungsanbieter nicht verfügbar ist oder Wartungsarbeiten durchgeführt werden.

Benutzer und Gruppen

  • Die lokale Authentifizierung unterstützt nicht das Erstellen oder Verwalten von Gruppen.

  • Nachdem ein externer Authentifizierungsanbieter konfiguriert ist, beachten Sie, dass lokale, auf Rancher beschränkte Administratorbenutzer nur Ressourcen wie Benutzer und Gruppen anzeigen, von denen sie im jeweiligen Authentifizierungsanbieter Mitglied sind.

Rancher ist auf Benutzer und Gruppen angewiesen, um zu bestimmen, wer sich bei Rancher anmelden darf und auf welche Ressourcen sie zugreifen können. Bei der Authentifizierung mit einem externen Anbieter werden Gruppen basierend auf dem Benutzer vom externen Anbieter bereitgestellt. Diese Benutzer und Gruppen erhalten spezifische Rollen für Ressourcen wie Cluster, Projekte und globale DNS-Anbieter und -Einträge. Wenn Sie einer Gruppe Zugriff gewähren, können alle Benutzer, die Mitglieder dieser Gruppe im Authentifizierungsanbieter sind, auf die Ressource mit den Berechtigungen zugreifen, die Sie festgelegt haben. Für weitere Informationen zu Rollen und Berechtigungen, siehe Rollenbasierte Zugriffskontrolle.

Weitere Informationen finden Sie in Benutzer und Gruppen

Umfang der Rancher-Autorisierung

Nachdem Sie Rancher so konfiguriert haben, dass die Anmeldung über einen externen Authentifizierungsdienst ermöglicht wird, sollten Sie festlegen, wer sich anmelden und Rancher nutzen darf. Folgende Optionen sind verfügbar:

Zugriffslevel Beschreibung

Erlauben Sie allen gültigen Benutzern

Jeder Benutzer im Autorisierungsdienst kann auf Rancher zugreifen. Wir raten generell von der Verwendung dieser Einstellung ab!

Erlauben Sie Mitgliedern von Clustern, Projekten sowie autorisierten Benutzern und Organisationen

Jeder Benutzer im Autorisierungsdienst und jede Gruppe, die als Cluster-Mitglied oder Projekt-Mitglied hinzugefügt wird, kann sich bei Rancher anmelden. Darüber hinaus kann sich jeder Benutzer im Authentifizierungsdienst oder jede Gruppe, die Sie zur Liste der autorisierten Benutzer und Organisationen hinzufügen, bei Rancher anmelden.

Zugriff nur auf autorisierte Benutzer und Organisationen beschränken

Nur Benutzer im Authentifizierungsdienst oder Gruppen, die zu den autorisierten Benutzern und Organisationen hinzugefügt wurden, können sich bei Rancher anmelden.

Nur vertrauenswürdige Benutzer mit Administratorrechten sollten Zugriff auf den lokalen Cluster haben, der alle anderen Cluster in einer Rancher-Instanz verwaltet. Rancher wird direkt auf dem lokalen Cluster installiert, und die Verwaltungsfunktionen von Rancher ermöglichen es Administratoren des lokalen Clusters, Downstream-Cluster bereitzustellen, zu ändern, sich zu verbinden und Details anzuzeigen. Da der lokale Cluster entscheidend für die Architektur einer Rancher-Instanz ist, birgt unangemessener Zugriff Sicherheitsrisiken.

Um das Zugriffslevel für Benutzer im Autorisierungsdienst festzulegen, befolgen Sie diese Schritte:

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie in der linken Navigationsleiste auf Auth-Anbieter.

  3. Nachdem Sie die Konfiguration für einen Authentifizierungsanbieter eingerichtet haben, verwenden Sie die Site Access-Optionen, um den Umfang der Benutzerautorisierung zu konfigurieren. Die obige Tabelle erklärt die Zugriffsebene für jede Option.

  4. Optional: Wenn Sie eine andere Option als Alle gültigen Benutzer zulassen, wählen, können Sie Benutzer zur Liste der autorisierten Benutzer und Organisationen hinzufügen, indem Sie sie im Textfeld suchen, das erscheint.

  5. Klicken Sie auf Speichern.

Ergebnis: Die Konfigurationseinstellungen für den Rancher-Zugriff werden angewendet.

SAML-Anbieter-Hinweise

  • Benutzer und Gruppen werden nicht validiert, wenn Sie ihnen Berechtigungen in Rancher zuweisen.

  • Beim Hinzufügen von Benutzern müssen die genauen Benutzer-IDs (d.h. UID Field) korrekt eingegeben werden. Während Sie die Benutzer-ID eingeben, wird nicht nach anderen Benutzer-IDs gesucht, die möglicherweise übereinstimmen.

  • Beim Hinzufügen von Gruppen müssen Sie die Gruppe aus dem Dropdown-Menü auswählen, das neben dem Textfeld steht. Rancher geht davon aus, dass jede Eingabe im Textfeld ein Benutzer ist.

  • Das Gruppen-Dropdown zeigt nur die Gruppen an, in denen Sie Mitglied sind. Wenn Sie jedoch Administratorrechte oder eingeschränkte Administratorrechte haben, können Sie einer Gruppe beitreten, in der Sie kein Mitglied sind.

Konfiguration der externen Authentifizierung und Hauptbenutzer

Die Konfiguration der externen Authentifizierung erfordert:

  • Einen lokalen Benutzer, der die Administratorrolle zugewiesen hat, hiernach als lokalen Hauptbenutzer bezeichnet.

  • Einen externen Benutzer, der sich mit Ihrem externen Authentifizierungsdienst authentifizieren kann, hiernach als externen Hauptbenutzer bezeichnet.

Die Konfiguration der externen Authentifizierung beeinflusst auch, wie Hauptbenutzer innerhalb von Rancher verwaltet werden. Insbesondere erhält ein Benutzerkonto, das einen externen Anbieter aktiviert, Administratorrechte. Das liegt daran, dass der lokale Hauptbenutzer und der externe Hauptbenutzer dieselbe Benutzer-ID und Zugriffsrechte teilen.

Die folgenden Anweisungen zeigen diese Auswirkungen:

  1. Melden Sie sich bei Rancher als lokaler Hauptbenutzer an und schließen Sie die Konfiguration der externen Authentifizierung ab.

    Anmelden

  2. Rancher verknüpft den externen Hauptbenutzer mit dem lokalen Hauptbenutzer. Diese beiden Benutzer teilen sich die Benutzer-ID des lokalen Hauptbenutzers.

    Teilen der Hauptbenutzer-ID

  3. Nachdem Sie die Konfiguration abgeschlossen haben, meldet Rancher den lokalen Hauptbenutzer automatisch ab.

    Lokalen Hauptbenutzer abmelden

  4. Dann meldet Rancher Sie automatisch als externen Hauptbenutzer wieder an.

    Externen Hauptbenutzer anmelden

  5. Da der externe Hauptbenutzer und der lokale Hauptbenutzer eine ID teilen, wird kein einzigartiges Objekt für den externen Hauptbenutzer auf der Benutzerseite angezeigt.

    Externen Hauptbenutzer anmelden

  6. Der externe Hauptbenutzer und der lokale Hauptbenutzer teilen sich dieselben Zugriffsrechte.

Die Neukonfiguration eines zuvor eingerichteten Authentifizierungsanbieters

Wenn Sie einen Anbieter, der zuvor eingerichtet wurde, neu konfigurieren oder deaktivieren und dann wieder aktivieren müssen, stellen Sie sicher, dass der Benutzer, der dies versucht, als externer Benutzer in Rancher angemeldet ist, nicht als lokaler Administrator.

Deaktivierung eines Auth-Anbieters

Wenn Sie einen Auth-Anbieter deaktivieren, löscht Rancher alle damit verbundenen Ressourcen, wie zum Beispiel:

  • Geheimnisse.

  • Globale Rollenbindungen.

  • Cluster-Rollenvorlagenbindungen.

  • Projekt-Rollenvorlagenbindungen.

  • Externe Benutzer, die mit dem Anbieter verbunden sind, aber nie als lokale Benutzer in Rancher angemeldet waren.

Da dieser Vorgang zu einem Verlust vieler Ressourcen führen kann, möchten Sie möglicherweise eine Sicherheitsmaßnahme für den Anbieter hinzufügen. Um sicherzustellen, dass dieser Bereinigungsprozess nicht ausgeführt wird, wenn der Auth-Anbieter deaktiviert ist, fügen Sie der entsprechenden Auth-Konfiguration eine spezielle Annotation hinzu.

Um beispielsweise eine Sicherheitsmaßnahme für den Azure AD-Anbieter hinzuzufügen, annotieren Sie das azuread authconfig-Objekt:

kubectl annotate --overwrite authconfig azuread management.cattle.io/auth-provider-cleanup='user-locked'

Rancher führt keine Bereinigung durch, bis Sie die Annotation auf unlocked setzen.

Manuelle Ausführung der Ressourcenbereinigung

Rancher könnte Ressourcen aus einer zuvor deaktivierten Auth-Anbieter-Konfiguration im lokalen Cluster behalten, selbst nachdem Sie einen anderen Auth-Anbieter konfiguriert haben. Wenn Sie beispielsweise Anbieter A verwendet haben, ihn dann deaktiviert und Anbieter B zu verwenden begonnen haben, können Sie beim Upgrade auf eine neue Version von Rancher die Bereinigung für die von Anbieter A konfigurierten Ressourcen manuell auslösen.

Um die Bereinigung für einen deaktivierten Auth-Anbieter manuell auszulösen, fügen Sie die management.cattle.io/auth-provider-cleanup Annotation mit dem unlocked Wert zu seiner Auth-Konfiguration hinzu.