Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Shibboleth (SAML) konfigurieren

Wenn Ihre Organisation Shibboleth Identity Provider (IdP) für die Benutzerauthentifizierung verwendet, können Sie Rancher so konfigurieren, dass Ihre Benutzer sich mit ihren Shibboleth-Anmeldeinformationen bei Rancher anmelden können.

In dieser Konfiguration werden Rancher-Benutzer, wenn sie sich anmelden, zum Shibboleth IdP weitergeleitet, um ihre Anmeldeinformationen einzugeben. Nach der Authentifizierung werden sie zurück zur Rancher-Benutzeroberfläche weitergeleitet.

Wenn Sie auch OpenLDAP als Backend für Shibboleth konfigurieren, wird eine SAML-Assertion an Rancher zurückgegeben, die Benutzerattribute einschließlich Gruppen enthält. Der authentifizierte Benutzer kann dann auf Ressourcen in Rancher zugreifen, für die seine Gruppen Berechtigungen haben.

Die Anweisungen in diesem Abschnitt setzen voraus, dass Sie verstehen, wie Rancher, Shibboleth und OpenLDAP zusammenarbeiten. Für eine detailliertere Erklärung, wie es funktioniert, siehe diese Seite.

Einrichten von Shibboleth in Rancher

Shibboleth-Voraussetzungen

  • Sie müssen einen Shibboleth IdP-Server konfiguriert haben.

  • Nachfolgend sind die Rancher Service Provider-URLs aufgeführt, die für die Konfiguration benötigt werden: Metadaten-URL: https://<rancher-server>/v1-saml/shibboleth/saml/metadata Assertion Consumer Service (ACS) URL: https://<rancher-server>/v1-saml/shibboleth/saml/acs

  • Exportieren Sie eine metadata.xml Datei von Ihrem IdP-Server. Für weitere Informationen siehe die Shibboleth-Dokumentation.

Shibboleth in Rancher konfigurieren

Wenn Ihre Organisation Shibboleth zur Benutzerauthentifizierung verwendet, können Sie Rancher so konfigurieren, dass Ihre Benutzer sich mit ihren IdP-Anmeldeinformationen anmelden können.

  1. Klicken Sie oben links auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie im linken Navigationsmenü auf Auth-Anbieter.

  3. Klicken Sie auf Shibboleth.

  4. Füllen Sie das Formular Shibboleth-Konto konfigurieren aus. Shibboleth IdP ermöglicht es Ihnen, den gewünschten Datenspeicher anzugeben. Sie können entweder eine Datenbank hinzufügen oder einen vorhandenen LDAP-Server verwenden. Wenn Sie beispielsweise Ihren Active Directory (AD)-Server auswählen, beschreiben die folgenden Beispiele, wie Sie AD-Attribute auf Felder innerhalb von Rancher abbilden können.

    1. Feld für Anzeigenamen: Geben Sie das AD-Attribut ein, das den Anzeigenamen der Benutzer enthält (Beispiel: displayName).

    2. Feld für Benutzernamen: Geben Sie das AD-Attribut ein, das den Benutzernamen/Vornamen enthält (Beispiel: givenName).

    3. UID-Feld: Geben Sie ein AD-Attribut ein, das für jeden Benutzer eindeutig ist (Beispiel: sAMAccountName, distinguishedName).

    4. Gruppenfeld: Erstellen Sie Einträge zur Verwaltung von Gruppenmitgliedschaften (Beispiel: memberOf).

    5. Rancher API-Host: Geben Sie die URL für Ihren Rancher-Server ein.

    6. Privater Schlüssel und Zertifikat: Dies ist ein Schlüssel-Zertifikat-Paar, um eine sichere Shell zwischen Rancher und Ihrem IdP zu erstellen.

      Sie können eines mit einem openssl-Befehl generieren. Beispiel:

       openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

    7. IDP-Metadaten: Die metadata.xml Datei, die Sie von Ihrem IdP-Server exportiert haben.

  5. Nachdem Sie das Formular Shibboleth-Konto konfigurieren ausgefüllt haben, klicken Sie auf Aktivieren.

    Rancher leitet Sie zur IdP-Anmeldeseite weiter. Geben Sie Anmeldeinformationen ein, die mit Shibboleth IdP authentifiziert werden, um Ihre Rancher Shibboleth-Konfiguration zu validieren.

    Möglicherweise müssen Sie Ihren Popup-Blocker deaktivieren, um die IdP-Anmeldeseite zu sehen.

Ergebnis: Rancher ist so konfiguriert, dass es mit Shibboleth funktioniert. Ihre Benutzer können sich jetzt mit ihren Shibboleth-Anmeldedaten bei Rancher anmelden.

SAML-Anbieter-Hinweise

Wenn Sie Shibboleth ohne OpenLDAP konfigurieren, gelten die folgenden Hinweise, da das SAML-Protokoll keine Suche oder Abfrage nach Benutzern oder Gruppen unterstützt.

  • Es gibt keine Validierung von Benutzern oder Gruppen, wenn Berechtigungen in Rancher zugewiesen werden.

  • Beim Hinzufügen von Benutzern müssen die genauen Benutzer-IDs (d.h. UID-Feld) korrekt eingegeben werden. Während Sie die Benutzer-ID eingeben, wird nicht nach anderen Benutzer-IDs gesucht, die übereinstimmen könnten.

  • Beim Hinzufügen von Gruppen müssen Sie die Gruppe aus dem Dropdown-Menü auswählen, die sich neben dem Textfeld befindet. Rancher geht davon aus, dass jede Eingabe im Textfeld ein Benutzer ist.

  • Das Gruppen-Dropdown zeigt nur die Gruppen an, in denen Sie Mitglied sind. Wenn Sie jedoch Administratorrechte oder eingeschränkte Administratorrechte haben, können Sie einer Gruppe beitreten, in der Sie kein Mitglied sind.

Um die Suche nach Gruppen bei der Zuweisung von Berechtigungen in Rancher zu aktivieren, müssen Sie ein Backend für den SAML-Anbieter konfigurieren, das Gruppen unterstützt, wie OpenLDAP.

Konfigurieren von SAML Single Logout (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

Einrichten von OpenLDAP in Rancher

Wenn Sie auch OpenLDAP als Backend für Shibboleth konfigurieren, wird eine SAML-Assertion an Rancher zurückgegeben, die Benutzerattribute einschließlich Gruppen enthält. Dann können authentifizierte Benutzer auf Ressourcen in Rancher zugreifen, für die ihre Gruppen Berechtigungen haben.

OpenLDAP-Voraussetzungen

Rancher muss mit einem LDAP-Bind-Konto (auch bekannt als Dienstkonto) konfiguriert werden, um LDAP-Einträge zu suchen und abzurufen, die Benutzern und Gruppen zugeordnet sind, die Zugriff haben sollten. Es wird empfohlen, kein Administratorkonto oder persönliches Konto für diesen Zweck zu verwenden und stattdessen ein dediziertes Konto in OpenLDAP mit schreibgeschütztem Zugriff auf Benutzer und Gruppen unter der konfigurierten Suchbasis zu erstellen (siehe unten).

Verwendung von TLS?

Wenn das vom OpenLDAP-Server verwendete Zertifikat selbstsigniert ist oder nicht von einer anerkannten Zertifizierungsstelle stammt, stellen Sie sicher, dass Sie das CA-Zertifikat (verknüpft mit allen Zwischenzertifikaten) im PEM-Format zur Hand haben. Sie müssen dieses Zertifikat während der Konfiguration einfügen, damit Rancher in der Lage ist, die Zertifikatkette zu validieren.

Konfigurieren Sie OpenLDAP in Rancher

Konfigurieren Sie die Einstellungen für den OpenLDAP-Server, Gruppen und Benutzer. Für Hilfe beim Ausfüllen jedes Feldes, beziehen Sie sich auf die Konfigurationsreferenz. Beachten Sie, dass die Mitgliedschaft in verschachtelten Gruppen für Shibboleth nicht verfügbar ist.

Bevor Sie mit der Konfiguration fortfahren, machen Sie sich bitte mit den Konzepten der Externe Authentifizierungskonfiguration und Hauptbenutzer vertraut.

  1. Melden Sie sich mit dem anfänglichen lokalen admin Konto in der Rancher-Benutzeroberfläche an.

  2. Klicken Sie oben links auf ☰ > Benutzer & Authentifizierung.

  3. Klicken Sie im linken Navigationsmenü auf Auth-Anbieter.

  4. Klicken Sie auf Shibboleth oder, falls SAML bereits konfiguriert ist, auf Konfiguration bearbeiten.

  5. Unter Benutzer- und Gruppensuche aktivieren Sie OpenLDAP-Server konfigurieren.

Fehlerbehebung

Wenn Sie beim Testen der Verbindung zum OpenLDAP-Server auf Probleme stoßen, überprüfen Sie zuerst die eingegebenen Anmeldeinformationen für das Dienstkonto sowie die Konfiguration der Suchbasis. Sie können auch die Rancher-Protokolle überprüfen, um die Ursache des Problems zu ermitteln. Debug-Protokolle können detailliertere Informationen über den Fehler enthalten. Bitte beziehen Sie sich auf Wie kann ich das Debug-Logging aktivieren in dieser Dokumentation.