Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

OpenLDAP-Konfigurations-Referenz

Für weitere Details zur Konfiguration der OpenLDAP-Authentifizierung siehe die offizielle Dokumentation.

Bevor Sie mit der Konfiguration fortfahren, machen Sie sich bitte mit den Konzepten von Externe Authentifizierungskonfiguration und Hauptbenutzer vertraut.

Hintergrund: OpenLDAP-Authentifizierungsfluss

  1. Wenn ein Benutzer versucht, sich mit LDAP-Anmeldeinformationen anzumelden, erstellt Rancher eine initiale Bindung an den LDAP-Server unter Verwendung eines Dienstkontos mit Berechtigungen zum Durchsuchen des Verzeichnisses und zum Lesen von Benutzer-/Gruppenattributen.

  2. Rancher durchsucht dann das Verzeichnis nach dem Benutzer, indem ein Suchfilter basierend auf dem angegebenen Benutzernamen und den konfigurierten Attributzuordnungen verwendet wird.

  3. Sobald der Benutzer gefunden wurde, wird er mit einer weiteren LDAP-Bindungsanfrage unter Verwendung des DN des Benutzers und des angegebenen Passworts authentifiziert.

  4. Sobald die Authentifizierung erfolgreich war, ermittelt Rancher die Gruppenmitgliedschaften sowohl aus dem Mitgliedschaftsattribut im Benutzerobjekt als auch durch Durchführung einer Gruppensuche basierend auf dem konfigurierten Benutzerzuordnungsattribut.

OpenLDAP-Serverkonfiguration

Sie müssen die Adresse, den Port und das Protokoll eingeben, um eine Verbindung zu Ihrem OpenLDAP-Server herzustellen. 389 ist der Standardport für unsicheren Verkehr, 636 für TLS-Verkehr.

TLS verwenden?

Wenn das vom OpenLDAP-Server verwendete Zertifikat selbstsigniert ist oder nicht von einer anerkannten Zertifizierungsstelle stammt, stellen Sie sicher, dass Sie das CA-Zertifikat (verkettet mit allen Zwischenzertifikaten) im PEM-Format zur Hand haben. Sie müssen dieses Zertifikat während der Konfiguration einfügen, damit Rancher in der Lage ist, die Zertifikatkette zu validieren.

Wenn Sie sich über die korrekten Werte, die in die Konfigurationsfelder für die Benutzer-/Gruppen-Suchbasis eingegeben werden sollen, unsicher sind, konsultieren Sie Ihren LDAP-Administrator oder lesen Sie den Abschnitt Suchbasis und Schema mit ldapsearch identifizieren in der Dokumentation zur Active Directory-Authentifizierung.

Table 1. OpenLDAP-Serverparameter
Parameter Beschreibung

Hostname

Geben Sie den Hostnamen oder die IP-Adresse des OpenLDAP-Servers an

Port

Geben Sie den Port an, an dem der OpenLDAP-Server auf Verbindungen hört. Unverschlüsseltes LDAP verwendet normalerweise den Standardport 389, während LDAPS den Port 636 verwendet.

TLS

Aktivieren Sie dieses Kontrollkästchen, um LDAP über SSL/TLS (allgemein bekannt als LDAPS) zu aktivieren. Sie müssen auch das CA-Zertifikat einfügen, wenn der Server ein selbstsigniertes/unternehmenssigniertes Zertifikat verwendet.

Serververbindungszeitüberschreitung

Die Dauer in Sekunden, die Rancher wartet, bevor der Server als unerreichbar betrachtet wird.

Distinguished Name des Dienstkontos

Geben Sie den Distinguished Name (DN) des Benutzers ein, der zum Binden, Suchen und Abrufen von LDAP-Einträgen verwendet werden soll.

Passwort des Dienstkontos

Das Passwort für das Service-Konto.

Benutzersuchbasis

Geben Sie den Distinguished Name des Knotens in Ihrem Verzeichnisbaum (directory tree) ein, von dem aus die Suche nach Benutzerobjekten gestartet werden soll. Alle Benutzer müssen Nachkommen dieses Basis-DN sein. Zum Beispiel: "ou=people,dc=acme,dc=com".

Gruppensuchbasis

Wenn Ihre Gruppen unter einem anderen Knoten leben als dem, der unter User Search Base konfiguriert ist, müssen Sie hier den Distinguished Name angeben. Andernfalls lassen Sie dieses Feld leer. Zum Beispiel: "ou=groups,dc=acme,dc=com".

Benutzer-/Gruppenschema-Konfiguration

Wenn Ihr OpenLDAP-Verzeichnis vom Standard-OpenLDAP-Schema abweicht, müssen Sie den Abschnitt Schema anpassen ausfüllen.

Beachten Sie, dass die in diesem Abschnitt konfigurierten Attributzuordnungen von Rancher verwendet werden, um Suchfilter zu erstellen und die Gruppenmitgliedschaft zu ermitteln. Es wird daher immer empfohlen, zu überprüfen, ob die Konfiguration hier mit dem Schema übereinstimmt, das in Ihrem OpenLDAP verwendet wird.

Wenn Sie mit dem Benutzer-/Gruppenschema, das im OpenLDAP-Server verwendet wird, nicht vertraut sind, konsultieren Sie Ihren LDAP-Administrator oder beziehen Sie sich auf den Abschnitt Suchbasis und Schema mit ldapsearch identifizieren in der Dokumentation zur Active Directory-Authentifizierung.

Benutzerschema-Konfiguration

Die folgende Tabelle beschreibt die Parameter für die Benutzerschema-Konfiguration.

Table 2. Parameter der Benutzerschema-Konfiguration
Parameter Beschreibung

Object Class

Der Name der Objektklasse, die für Benutzerobjekte in Ihrer Domäne verwendet wird. Wenn definiert, geben Sie nur den Namen der Objektklasse an - nicht in einen LDAP-Wrapper wie &(objectClass=xxxx) ein.

Benutzername-Attribut

Das Benutzerattribut, dessen Wert als Anzeigename geeignet ist.

Anmeldeattribut

Das Attribut, dessen Wert mit dem Benutzernamen übereinstimmt, den Ihre Benutzer bei der Anmeldung bei Rancher eingeben. Dies ist typischerweise uid.

Benutzergruppenattribut

Das Benutzerattribut, das den Distinguished Name der Gruppen enthält, zu denen ein Benutzer gehört. In der Regel ist dies eines von memberOf oder isMemberOf.

Attribut suchen

Wenn ein Benutzer Text eingibt, um Benutzer oder Gruppen in der Benutzeroberfläche hinzuzufügen, fragt Rancher den LDAP-Server ab und versucht, Benutzer anhand der in dieser Einstellung angegebenen Attribute zuzuordnen. Mehrere Attribute können angegeben werden, indem sie mit dem Pipe-Symbol ("|") getrennt werden.

Benutzeraktivierungsattribut

Wenn das Schema Ihres OpenLDAP-Servers ein Benutzerattribut unterstützt, dessen Wert ausgewertet werden kann, um zu bestimmen, ob das Konto deaktiviert oder gesperrt ist, geben Sie den Namen dieses Attributs ein. Das Standard-OpenLDAP-Schema unterstützt dies nicht, und das Feld sollte in der Regel leer gelassen werden.

Deaktivierte Status-Bitmaske

Dies ist der Wert für ein deaktiviertes/gesperrtes Benutzerkonto. Der Parameter wird ignoriert, wenn User Enabled Attribute leer ist.

Gruppenschemakonfiguration

Die folgende Tabelle beschreibt die Parameter für die Gruppenschema-Konfiguration.

Table 3. Parameter der Gruppenschemakonfiguration
Parameter Beschreibung

Object Class

Der Name der Objektklasse, die für Gruppeneinträge in Ihrer Domäne verwendet wird. Wenn definiert, geben Sie nur den Namen der Objektklasse an - nicht in einen LDAP-Wrapper wie &(objectClass=xxxx) ein.

Attribut "name"

Das Gruppenattribut, dessen Wert für einen Anzeigenamen geeignet ist.

Benutzerattribut für Gruppenmitglieder

Der Name des Benutzerattributs, dessen Format mit den Gruppenmitgliedern in der Group Member Mapping Attribute übereinstimmt.

Mapping-Attribut für Gruppenmitglieder

Der Name des Gruppenattributs, das die Mitglieder einer Gruppe enthält.

Attribut suchen

Attribut, das zum Erstellen von Suchfiltern verwendet wird, wenn Gruppen zu Clustern oder Projekten in der Benutzeroberfläche hinzugefügt werden. Siehe Beschreibung des Benutzerschemas Search Attribute.

Gruppen-DN-Attribut

Der Name des Gruppenattributs, dessen Format mit den Werten im Gruppenmitgliedschaftsattribut des Benutzers übereinstimmt. Siehe User Member Attribute.

Mitgliedschaft in verschachtelter Gruppe

Diese Einstellung definiert, ob Rancher verschachtelte Gruppenmitgliedschaften auflösen soll. Nur verwenden, wenn Ihre Organisation diese verschachtelten Mitgliedschaften nutzt (d.h. Sie haben Gruppen, die andere Gruppen als Mitglieder enthalten). Diese Option ist deaktiviert, wenn Sie Shibboleth verwenden.