Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

OpenLDAP konfigurieren

Wenn Ihre Organisation LDAP zur Benutzerauthentifizierung verwendet, können Sie Rancher so konfigurieren, dass es mit einem OpenLDAP-Server kommuniziert, um Benutzer zu authentifizieren. Dies ermöglicht es Rancher-Administratoren, den Zugriff auf Cluster und Projekte basierend auf Benutzern und Gruppen zu steuern, die extern im zentralen Benutzer-Repository der Organisation verwaltet werden, während Endbenutzer sich mit ihren LDAP-Anmeldeinformationen beim Rancher UI anmelden können.

Voraussetzungen

Rancher muss mit einem LDAP-Bind-Konto (auch bekannt als Dienstkonto) konfiguriert werden, um LDAP-Einträge zu suchen und abzurufen, die Benutzern und Gruppen zugeordnet sind, die Zugriff haben sollten. Es wird empfohlen, kein Administratorkonto oder persönliches Konto für diesen Zweck zu verwenden und stattdessen ein dediziertes Konto in OpenLDAP mit schreibgeschütztem Zugriff auf Benutzer und Gruppen unter der konfigurierten Suchbasis zu erstellen (siehe unten).

TLS verwenden?

Wenn das vom OpenLDAP-Server verwendete Zertifikat selbstsigniert ist oder nicht von einer anerkannten Zertifizierungsstelle stammt, stellen Sie sicher, dass Sie das CA-Zertifikat (verknüpft mit allen Zwischenzertifikaten) im PEM-Format zur Hand haben. Sie müssen dieses Zertifikat während der Konfiguration einfügen, damit Rancher in der Lage ist, die Zertifikatkette zu validieren.

OpenLDAP in Rancher konfigurieren

Konfigurieren Sie die Einstellungen für den OpenLDAP-Server, Gruppen und Benutzer. Für Hilfe beim Ausfüllen jedes Feldes, beziehen Sie sich auf die Konfigurationsreferenz.

Bevor Sie mit der Konfiguration fortfahren, machen Sie sich bitte mit den Konzepten der Externe Authentifizierungskonfiguration und Principal-Benutzer vertraut.

  1. Klicken Sie oben links auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie im linken Navigationsmenü auf Auth-Anbieter.

  3. Klicken Sie auf OpenLDAP. Füllen Sie das Formular OpenLDAP-Server konfigurieren aus.

  4. Klicken Sie auf Aktivieren.

Authentifizierung testen

Sobald Sie die Konfiguration abgeschlossen haben, testen Sie die Verbindung zum OpenLDAP-Server. Die Authentifizierung mit OpenLDAP wird implizit aktiviert, wenn der Test erfolgreich ist.

Der OpenLDAP-Benutzer, der zu den in diesem Schritt eingegebenen Anmeldeinformationen gehört, wird dem lokalen Hauptkonto zugeordnet und erhält Administratorrechte in Rancher. Sie sollten daher eine bewusste Entscheidung darüber treffen, welches LDAP-Konto Sie für diesen Schritt verwenden.

  1. Geben Sie den Benutzernamen und das Passwort für das OpenLDAP-Konto ein, das dem lokalen Hauptkonto zugeordnet werden soll.

  2. Klicken Sie auf Mit OpenLDAP authentifizieren, um die OpenLDAP-Verbindung zu testen und das setup abzuschließen.

Ergebnis:

  • Die OpenLDAP-Authentifizierung ist konfiguriert.

  • Der LDAP-Benutzer, der zu den eingegebenen Anmeldeinformationen gehört, wird dem lokalen Haupt- (administrativen) Konto zugeordnet.

Sie können sich weiterhin mit dem lokal konfigurierten admin Konto und Passwort anmelden, falls es zu einer Störung der LDAP-Dienste kommt.

Anhang: Fehlerbehebung

Wenn Sie beim Testen der Verbindung zum OpenLDAP-Server auf Probleme stoßen, überprüfen Sie zunächst die eingegebenen Anmeldeinformationen für das Dienstkonto sowie die Konfiguration der Suchbasis. Sie können auch die Rancher-Protokolle überprüfen, um die Ursache des Problems zu ermitteln. Debug-Protokolle können detailliertere Informationen über den Fehler enthalten. Bitte beziehen Sie sich auf Wie kann ich das Debug-Logging aktivieren in dieser Dokumentation.