Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Referencia de configuración de OpenLDAP

Para más detalles sobre la configuración de la autenticación de OpenLDAP, consulta la documentación oficial.

Antes de proceder con la configuración, familiarízate con los conceptos de Configuración de Autenticación Externa y Usuarios Principales.

Contexto: Flujo de Autenticación de OpenLDAP

  1. Cuando un usuario intenta iniciar sesión con credenciales LDAP, Rancher crea un enlace inicial al servidor LDAP utilizando una cuenta de servicio con permisos para buscar en el directorio y leer los atributos de usuario/grupo.

  2. Rancher luego busca en el directorio al usuario utilizando un filtro de búsqueda basado en el nombre de usuario proporcionado y los mapeos de atributos configurados.

  3. Una vez que se ha encontrado al usuario, se autentica con otra solicitud de enlace LDAP utilizando el DN del usuario y la contraseña proporcionada.

  4. Una vez que la autenticación ha tenido éxito, Rancher resuelve las pertenencias a grupos tanto del atributo de membresía en el objeto del usuario como realizando una búsqueda de grupos basada en el atributo de mapeo de usuario configurado.

Configuración del Servidor OpenLDAP

Necesitarás introducir la dirección, el puerto y el protocolo para conectarte a tu servidor OpenLDAP. 389 es el puerto estándar para tráfico inseguro, 636 para tráfico TLS.

¿Usando TLS?

Si el certificado utilizado por el servidor OpenLDAP es autofirmado o no proviene de una autoridad de certificación reconocida, asegúrate de tener a mano el certificado CA (concatenado con cualquier certificado intermedio) en formato PEM. Tendrás que pegar este certificado durante la configuración para que Rancher pueda validar la cadena de certificados.

Si tienes dudas sobre los valores correctos que debes introducir en los campos de configuración de la Base de Búsqueda de usuario/grupo, consulta a tu administrador LDAP o consulta la sección Identificar la Base de Búsqueda y el Esquema utilizando ldapsearch en la documentación de autenticación de Active Directory.

Table 1. Parámetros del Servidor OpenLDAP
Parámetro Descripción

Nombre de host

Especifica el nombre de host o la dirección IP del servidor OpenLDAP

Puerto

Especifica el puerto en el que el servidor OpenLDAP está escuchando conexiones. LDAP sin cifrar normalmente utiliza el puerto estándar 389, mientras que LDAPS utiliza el puerto 636.

TLS

Marca esta casilla para habilitar LDAP sobre SSL/TLS (comúnmente conocido como LDAPS). También necesitarás pegar el certificado CA si el servidor utiliza un certificado autofirmado/firmado por la empresa.

Tiempo de espera de conexión del servidor

La duración en número de segundos que Rancher espera antes de considerar que el servidor es inalcanzable.

Nombre Distinguido de la Cuenta de Servicio

Introduce el Nombre Distinguido (DN) del usuario que debe ser utilizado para enlazar, buscar y recuperar entradas LDAP.

Contraseña de la Cuenta de Servicio

La contraseña para la cuenta de servicio.

Base de Búsqueda de Usuarios

Introduce el Nombre Distinguido del nodo en tu árbol de directorio desde el cual comenzar a buscar objetos de usuario. Todos los usuarios deben ser descendientes de este DN base. Por ejemplo: "ou=people,dc=acme,dc=com".

Base de Búsqueda de Grupos

Si tus grupos se encuentran bajo un nodo diferente al configurado en User Search Base, necesitarás proporcionar el Nombre Distinguido aquí. De lo contrario, deja este campo vacío. Por ejemplo: "ou=groups,dc=acme,dc=com".

Configuración del Esquema de Usuario/Grupo

Si tu directorio OpenLDAP se desvía del esquema estándar de OpenLDAP, debes completar la sección Personalizar Esquema para que coincida.

Ten en cuenta que las asignaciones de atributos configuradas en esta sección son utilizadas por Rancher para construir filtros de búsqueda y resolver la pertenencia a grupos. Por lo tanto, siempre se recomienda verificar que la configuración aquí coincida con el esquema utilizado en tu OpenLDAP.

Si no estás familiarizado con el esquema de usuario/grupo utilizado en el servidor OpenLDAP, consulta a tu administrador LDAP o consulta la sección Identificar Base de Búsqueda y Esquema usando ldapsearch en la documentación de autenticación de Active Directory.

Configuración del Esquema de Usuario

La tabla a continuación detalla los parámetros para la configuración del esquema de usuario.

Table 2. Parámetros de configuración del esquema de usuario
Parámetro Descripción

Clase de objeto

El nombre de la clase de objeto utilizada para los objetos de usuario en tu dominio. Si se define, solo especifique el nombre de la clase de objeto - no lo incluya en un envoltorio LDAP como &(objectClass=xxxx)

Atributo de nombre de usuario

El atributo de usuario cuyo valor es adecuado como nombre para mostrar.

Atributo de inicio de sesión

El atributo cuyo valor coincide con la parte del nombre de usuario de las credenciales introducidas por tus usuarios al iniciar sesión en Rancher. Esto es típicamente uid.

Atributo de miembro del usuario

El atributo de usuario que contiene el Nombre Distinguido de los grupos de los que es miembro un usuario. Normalmente, esto es uno de memberOf o isMemberOf.

Atributo de búsqueda

Cuando un usuario introduce texto para añadir usuarios o grupos en la interfaz de usuario, Rancher consulta al servidor LDAP e intenta coincidir usuarios por los atributos proporcionados en esta configuración. Se pueden especificar múltiples atributos separándolos con el símbolo de barra vertical ("|").

Atributo de usuario habilitado

Si el esquema de tu servidor OpenLDAP admite un atributo de usuario cuyo valor se puede evaluar para determinar si la cuenta está deshabilitada o bloqueada, introduce el nombre de ese atributo. El esquema predeterminado de OpenLDAP no admite esto y el campo generalmente debe dejarse vacío.

Máscara de bits de estado deshabilitado

Este es el valor para una cuenta de usuario deshabilitada/bloqueada. Se ignora el parámetro si User Enabled Attribute está vacío.

Configuración del esquema de grupo

La tabla a continuación detalla los parámetros para la configuración del esquema de grupo.

Table 3. Parámetros de configuración del esquema de grupo
Parámetro Descripción

Clase de objeto

El nombre de la clase de objeto utilizada para las entradas de grupo en tu dominio. Si se define, solo especifique el nombre de la clase de objeto - no lo incluya en un envoltorio LDAP como &(objectClass=xxxx)

Atributo de nombre

El atributo de grupo cuyo valor es adecuado para un nombre de visualización.

Atributo de usuario miembro del grupo

El nombre del atributo de usuario cuyo formato coincide con los miembros del grupo en el Group Member Mapping Attribute.

Atributo de mapeo de miembro del grupo

El nombre del atributo de grupo que contiene los miembros de un grupo.

Atributo de búsqueda

Atributo utilizado para construir filtros de búsqueda al añadir grupos a clústeres o proyectos en la interfaz de usuario. Consulta la descripción del esquema de usuario Search Attribute.

Atributo DN del grupo

El nombre del atributo de grupo cuyo formato coincide con los valores en el atributo de pertenencia al grupo del usuario. Consulte la User Member Attribute.

Pertenencia a grupo anidado

Esta configuración define si Rancher debe resolver la pertenencia a grupos anidados. Utilice solo si su organización hace uso de estas pertenencias anidadas (es decir, tiene grupos que contienen otros grupos como miembros). Esta opción está deshabilitada si utilizas Shibboleth.