この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

FreeIPAを設定する

組織がユーザー認証にFreeIPAを使用している場合、Rancherを設定してユーザーがFreeIPAの資格情報を使用してログインできるようにすることができます。

前提条件:

  • FreeIPAサーバーを設定する必要があります。

  • `read-only`アクセス権を持つサービスアカウントをFreeIPAで作成します。Rancherは、このアカウントを使用して、ユーザーがAPIキーを使用してリクエストを行う際にグループメンバーシップを確認します。

  • 外部認証設定と主要ユーザーを読みます。

  1. `administrator`ロール(つまり、ローカルプリンシパル)が割り当てられたローカルユーザーを使用してRancherにサインインします。

  2. 左上隅で、*☰ > ユーザーと認証*をクリックします。

  3. 左側のナビゲーションメニューで、*認証プロバイダー*をクリックします。

  4. *FreeIPA*をクリックします。

  5. *FreeIPAサーバーを設定する*フォームを完成させます。

    フォームに必要な情報を見つけるために、ドメインコントローラーにログインする必要があるかもしれません。

    TLSを使用していますか?

    証明書が自己署名であるか、認識された証明書機関からのものでない場合は、完全なチェーンを提供してください。そのチェーンはサーバーの証明書を検証するために必要です。
    ユーザー検索ベースとグループ検索ベース

    検索ベースは、RancherがFreeIPA内のユーザーとグループを検索できるようにします。 これらのフィールドは検索ベース専用であり、検索フィルターには使用できません。

    • ユーザーとグループが同じ検索ベースにある場合は、ユーザー検索ベースのみを入力してください。

    • グループが異なる検索ベースにある場合は、グループ検索ベースを任意で入力できます。このフィールドはグループ検索専用ですが、必須ではありません。

  6. FreeIPAが標準のADスキーマから逸脱している場合は、*カスタマイズスキーマ*フォームを記入して一致させてください。別の操作をトリガする場合は、この手順を省略してください。

    検索属性

    検索属性フィールドは、3つの特定の値でデフォルト設定されています:uid|sn|givenName。FreeIPAが設定された後、ユーザーがユーザーやグループを追加するためにテキストを入力すると、Rancherは自動的にFreeIPAサーバーにクエリを送り、ユーザーID、姓、または名でフィールドを一致させようとします。Rancherは、検索フィールドに入力されたテキストで始まるユーザー/グループを特に検索します。

    デフォルトのフィールド値は`uid|sn|givenName`ですが、このフィールドをこれらのフィールドのサブセットに設定することができます。フィールド間のパイプ(|)は、これらのフィールドを区切ります。

    • uid:ユーザID

    • sn:姓

    • givenName:名

    この検索属性を使用すると、Rancherはユーザーとグループの検索フィルターを作成しますが、このフィールドに独自の検索フィルターを追加することは_できません_。

  7. *FreeIPAで認証*にある欄にFreeIPAのユーザー名とパスワードを入力して、RancherがFreeIPA認証を使用するように設定されていることを確認してください。

  8. [*有効]*をクリックします。

結果:

  • FreeIPA認証が設定されています。

  • あなたはFreeIPAアカウント(すなわち、外部プリンシパル)でRancherにサインインしています。