Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Référence de configuration OpenLDAP

Pour plus de détails sur la configuration de l’authentification OpenLDAP, consultez la documentation officielle.

Avant de procéder à la configuration, veuillez vous familiariser avec les concepts de Configuration d’authentification externe et utilisateurs principaux.

Arrière-plan: Flux d’authentification OpenLDAP

  1. Lorsqu’un utilisateur tente de se connecter avec des identifiants LDAP, Rancher effectue un premier lien avec le serveur LDAP en utilisant un compte de service ayant les permissions nécessaires pour rechercher dans l’annuaire et lire les attributs des utilisateurs/groupes.

  2. Rancher recherche ensuite l’utilisateur dans l’annuaire en utilisant un filtre de recherche basé sur le nom d’utilisateur fourni et les mappages d’attributs configurés.

  3. Une fois l’utilisateur trouvé, il est authentifié avec une autre requête de liaison LDAP en utilisant le DN de l’utilisateur et le mot de passe fourni.

  4. Une fois l’authentification réussie, Rancher résout ensuite les appartenances aux groupes à la fois à partir de l’attribut d’appartenance dans l’objet de l’utilisateur et en effectuant une recherche de groupe basée sur l’attribut de mappage d’utilisateur configuré.

Configuration du serveur OpenLDAP

Vous devrez entrer l’adresse, le port et le protocole pour vous connecter à votre serveur OpenLDAP. 389 est le port standard pour le trafic non sécurisé, 636 pour le trafic TLS.

Utilisez-vous TLS ?

Si le certificat utilisé par le serveur OpenLDAP est auto-signé ou n’est pas d’une autorité de certification reconnue, assurez-vous d’avoir à portée de main le certificat CA (concaténé avec tous les certificats intermédiaires) au format PEM. Vous devrez coller ce certificat lors de la configuration afin que Rancher puisse valider la chaîne de certificats.

Si vous avez des doutes sur les valeurs correctes à entrer dans les champs de configuration de la base de recherche utilisateur/groupe, consultez votre administrateur LDAP ou référez-vous à la section Identifier la base de recherche et le schéma en utilisant ldapsearch dans la documentation d’authentification Active Directory.

Table 1. Paramètres du serveur OpenLDAP:
Paramètre Description

Nom d’hôte

Indiquez le nom d’hôte ou l’adresse IP du serveur OpenLDAP

Port

Indiquez le port sur lequel le serveur OpenLDAP écoute les connexions. LDAP non chiffré utilise normalement le port standard 389, tandis que LDAPS utilise le port 636.

TLS

Cochez cette case pour activer LDAP sur SSL/TLS (communément appelé LDAPS). Vous devrez également coller le certificat CA si le serveur utilise un certificat auto-signé ou signé par une entreprise.

Délai de connexion au serveur

La durée en secondes que Rancher attend avant de considérer le serveur comme inaccessible.

Nom distinctif du compte de service

Entrez le nom distinctif (DN) de l’utilisateur qui doit être utilisé pour se lier, rechercher et récupérer les entrées LDAP.

Mot de passe du compte de service

Mot de passe du compte de service.

Base de recherche utilisateur

Entrez le nom distinctif du nœud dans votre arbre de répertoire à partir duquel commencer à rechercher des objets utilisateur. Tous les utilisateurs doivent être des descendants de ce DN de base. Par exemple : "ou=people,dc=acme,dc=com".

Base de recherche de groupe

Si vos groupes se trouvent sous un nœud différent de celui configuré sous User Search Base, vous devrez fournir le nom distinctif ici. Sinon, laissez ce champ vide. Par exemple : "ou=groups,dc=acme,dc=com".

Configuration du schéma utilisateur/groupe

Si votre répertoire OpenLDAP dévie du schéma standard OpenLDAP, vous devez compléter la section Personnaliser le schéma pour l’adapter.

Notez que les mappages d’attributs configurés dans cette section sont utilisés par Rancher pour construire des filtres de recherche et résoudre l’appartenance aux groupes. Il est donc toujours recommandé de vérifier que la configuration ici correspond au schéma utilisé dans votre OpenLDAP.

Si vous n’êtes pas familier avec le schéma utilisateur/groupe utilisé dans le serveur OpenLDAP, consultez votre administrateur LDAP ou référez-vous à la section Identifier la base de recherche et le schéma en utilisant ldapsearch dans la documentation d’authentification Active Directory.

Configuration du schéma utilisateur

Le tableau ci-dessous détaille les paramètres de configuration du schéma utilisateur.

Table 2. Paramètres de configuration du schéma utilisateur
Paramètre Description

Classe d’objet

Le nom de la classe d’objet utilisée pour les objets utilisateur dans votre domaine. Si défini, spécifiez uniquement le nom de la classe d’objet - ne l’incluez pas dans un wrapper LDAP tel que &(objectClass=xxxx)

Attribut du nom d’utilisateur

L’attribut utilisateur dont la valeur est appropriée comme nom d’affichage.

Attribut de connexion

L’attribut dont la valeur correspond à la partie nom d’utilisateur des identifiants saisis par vos utilisateurs lors de la connexion à Rancher. Ceci est généralement uid.

Attribut des membres utilisateurs

L’attribut utilisateur contenant le Nom Distingué des groupes dont un utilisateur est membre. En général, il s’agit de l’un de memberOf ou isMemberOf.

Attribut de recherche

Lorsqu’un utilisateur saisit du texte pour ajouter des utilisateurs ou des groupes dans l’interface utilisateur, Rancher interroge le serveur LDAP et tente de faire correspondre les utilisateurs par les attributs fournis dans ce paramètre. Plusieurs attributs peuvent être spécifiés en les séparant par le symbole pipe ("|").

Attribut utilisateur activé

Si le schéma de votre serveur OpenLDAP prend en charge un attribut utilisateur dont la valeur peut être évaluée pour déterminer si le compte est désactivé ou verrouillé, entrez le nom de cet attribut. Le schéma OpenLDAP par défaut ne prend pas en charge cela et le champ doit généralement rester vide.

Masque de bits d’état désactivé

Ceci est la valeur pour un compte utilisateur désactivé/verrouillé. Le paramètre est ignoré si User Enabled Attribute est vide.

Configuration du schéma de groupe

Le tableau ci-dessous détaille les paramètres de configuration du schéma de groupe.

Table 3. Paramètres de configuration du schéma de groupe
Paramètre Description

Classe d’objet

Le nom de la classe d’objet utilisée pour les entrées de groupe dans votre domaine. Si défini, spécifiez uniquement le nom de la classe d’objet - ne l’incluez pas dans un wrapper LDAP tel que &(objectClass=xxxx)

Attribut de nom :

L’attribut de groupe dont la valeur est appropriée pour un nom d’affichage.

Attribut utilisateur membre du groupe :

Le nom de l’attribut utilisateur dont le format correspond aux membres du groupe dans le Group Member Mapping Attribute.

Attribut de mappage des membres du groupe :

Le nom de l’attribut de groupe contenant les membres d’un groupe.

Attribut de recherche

Attribut utilisé pour construire des filtres de recherche lors de l’ajout de groupes à des clusters ou des projets dans l’interface utilisateur. Voir la description du schéma utilisateur Search Attribute.

Attribut DN du groupe :

Le nom de l’attribut de groupe dont le format correspond aux valeurs de l’attribut d’appartenance au groupe de l’utilisateur. Reportez-vous à la section User Member Attribute.

Adhésion à un groupe imbriqué

Ce paramètre définit si Rancher doit résoudre les appartenances aux groupes imbriqués. Utilisez uniquement si votre organisation utilise ces appartenances imbriquées (c’est-à-dire que vous avez des groupes contenant d’autres groupes comme membres). Cette option est désactivée si vous utilisez Shibboleth.