この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

OpenLDAPの設定

組織がユーザー認証にLDAPを使用している場合、Rancherを設定してOpenLDAPサーバーと通信し、ユーザーを認証することができます。これにより、Rancherの管理者は、組織のリポジトリで外部管理されているユーザーやグループに基づいて、クラスターやプロジェクトへのアクセスを制御でき、エンドユーザーはRancher UIにログインする際にLDAP資格情報で認証できます。

前提条件

Rancherは、アクセス権を持つユーザーやグループに関連するLDAPエントリを検索および取得するために、LDAPバインドアカウント(サービスアカウントとも呼ばれます)で構成する必要があります。この目的のために管理者アカウントや個人アカウントを使用せず、代わりに設定された検索ベースの下にあるユーザーやグループに対して読み取り専用アクセスを持つ専用アカウントをOpenLDAPで作成することをお勧めします(下記参照)。

TLSを使用していますか?

OpenLDAPサーバーで使用される証明書が自己署名であるか、認識された証明書機関からのものでない場合、CA証明書(中間証明書と連結されたもの)をPEM形式で手元に用意してください。この証明書を設定中に貼り付ける必要があるため、Rancherが証明書チェーンを検証できるようにします。

RancherでOpenLDAPを設定する

OpenLDAPサーバー、グループ、およびユーザーの設定を構成します。各フィールドの記入に関するヘルプについては、設定リファレンスを参照してください。

設定を進める前に、外部認証設定と主要ユーザーの概念に慣れておいてください。

  1. 左上隅で、*☰ > ユーザーと認証*をクリックします。

  2. 左側のナビゲーションメニューで、*認証プロバイダー*をクリックします。

  3. *OpenLDAP*をクリックします。*OpenLDAPサーバーの設定*フォームに記入します。

  4. [*有効]*をクリックします。

認証のテスト

設定が完了したら、OpenLDAPサーバーへの接続をテストして進めてください。OpenLDAPによる認証は、テストが成功した場合に暗黙的に有効になります。

このステップで入力された資格情報に関連するOpenLDAPユーザーは、ローカルの主要アカウントにマッピングされ、Rancherで管理者権限が付与されます。したがって、このステップを実行するために使用するLDAPアカウントについて、意識的な決定を下す必要があります。

  1. ローカルの主要アカウントにマッピングされるべきOpenLDAPアカウントの*ユーザー名*と*パスワード*を入力してください。

  2. *OpenLDAPで認証する*をクリックして、OpenLDAP接続をテストし、セットアップを完了してください。

結果:

  • OpenLDAP認証が設定されました。

  • 入力された資格情報に関連するLDAPユーザーは、ローカルの主要(管理)アカウントにマッピングされます。

LDAPサービスが中断された場合でも、ローカルに設定された`admin`アカウントとパスワードを使用してログインすることができます。

付録:トラブルシューティング

OpenLDAPサーバーへの接続をテストしている際に問題が発生した場合は、サービスアカウントの資格情報と検索ベースの設定を再確認してください。問題の原因を特定するために、Rancherのログを確認することもできます。デバッグログには、エラーに関するより詳細な情報が含まれている場合があります。このドキュメントのデバッグログを有効にする方法を参照してください。