|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
OpenLDAP設定リファレンス
OpenLDAP認証の設定に関する詳細は、 公式ドキュメントを参照してください。
設定を進める前に、外部認証設定と主要ユーザーの概念を十分に理解しておいてください。
[Background]:OpenLDAP認証フロー
-
ユーザーがLDAP資格情報でログインを試みると、Rancherはディレクトリを検索し、ユーザー/グループ属性を読み取る権限を持つサービスアカウントを使用してLDAPサーバーに初期バインドを作成します。
-
次に、Rancherは提供されたユーザー名と設定された属性マッピングに基づいて検索フィルターを使用してディレクトリ内のユーザーを検索します。
-
ユーザーが見つかると、ユーザーのDNと提供されたパスワードを使用して別のLDAPバインドリクエストで認証されます。
-
認証が成功すると、Rancherはユーザーオブジェクト内のメンバーシップ属性と、設定されたユーザーマッピング属性に基づいてグループ検索を行うことでグループメンバーシップを解決します。
OpenLDAPサーバー構成
OpenLDAPサーバーに接続するために、アドレス、ポート、およびプロトコルを入力する必要があります。`389`は非暗号化トラフィックの標準ポートであり、`636`はTLSトラフィック用です。
TLSを使用していますか?
OpenLDAPサーバーで使用される証明書が自己署名であるか、認識された証明書機関からのものでない場合、CA証明書(中間証明書と連結されたもの)をPEM形式で手元に用意してください。この証明書を設定中に貼り付ける必要があるため、Rancherが証明書チェーンを検証できるようにします。
ユーザー/グループ検索ベース設定フィールドに入力する正しい値について疑問がある場合は、LDAP管理者に相談するか、Active Directory認証ドキュメントのセクションldapsearchを使用して検索ベースとスキーマを特定するを参照してください。
| パラメータ | 説明 |
|---|---|
ホスト名 |
OpenLDAPサーバーのホスト名またはIPアドレスを指定します。 |
ポート |
OpenLDAPサーバーが接続を待機しているポートを指定します。暗号化されていないLDAPは通常、標準ポートの389を使用し、LDAPSはポート636を使用します。 |
TLS |
このボックスにチェックを入れて、SSL/TLS上のLDAPを有効にします(一般にLDAPSとして知られています)。サーバーが自己署名または企業署名の証明書を使用している場合は、CA証明書を貼り付ける必要があります。 |
サーバー接続タイムアウト |
Rancherがサーバーに到達できないと見なすまでの待機時間(秒単位)です。 |
サービスアカウントの識別名 |
LDAPエントリをバインド、検索、取得するために使用するユーザーの識別名(DN)を入力してください。 |
サービスアカウントのパスワード |
サービスアカウントのパスワード。 |
ユーザー検索ベース |
ユーザーオブジェクトの検索を開始するディレクトリツリー内のノードの識別名(Distinguished Name)を入力してください。すべてのユーザーはこのベースDNの子孫でなければなりません。例えば: "ou=people,dc=acme,dc=com"。 |
グループ検索ベース |
グループが`User Search Base`で設定されたノードとは異なるノードに存在する場合は、ここに識別名(Distinguished Name)を提供する必要があります。そうでない場合は、このフィールドを空白のままにしてください。例えば: "ou=groups,dc=acme,dc=com"。 |
ユーザー/グループスキーマ設定
OpenLDAPディレクトリが標準のOpenLDAPスキーマと異なる場合は、*スキーマのカスタマイズ*セクションを完了する必要があります。
このセクションで設定された属性マッピングは、Rancherが検索フィルターを構築し、グループメンバーシップを解決するために使用されることに注意してください。したがって、ここでの設定がOpenLDAPで使用されるスキーマと一致していることを確認することを常にお勧めします。
OpenLDAPサーバーで使用されるユーザー/グループスキーマに不慣れな場合は、LDAP管理者に相談するか、Active Directory認証ドキュメントのセクションldapsearchを使用して検索ベースとスキーマを特定するを参照してください。
ユーザースキーマ設定
以下の表は、ユーザースキーマ設定のパラメータを詳述しています。
| パラメータ | 説明 |
|---|---|
オブジェクトクラス |
ドメイン内のユーザーオブジェクトに使用されるオブジェクトクラスの名前。定義されている場合、オブジェクトクラスの名前のみを指定し、LDAPラッパー(例: &(objectClass=xxxx))には_含めない_ようにしてください。 |
ユーザー名属性 |
表示名として適切な値を持つユーザー属性。 |
ログイン属性 |
ユーザーがRancherにログインする際に入力した資格情報のユーザー名部分と一致する値を持つ属性。通常、これは`uid`です。 |
ユーザーメンバー属性 |
ユーザーが所属するグループの識別名を含むユーザー属性。通常、これは`memberOf`または`isMemberOf`のいずれかです。 |
検索属性 |
ユーザーがUIでユーザーやグループを追加するためにテキストを入力すると、RancherはLDAPサーバーにクエリを送り、この設定で提供された属性に基づいてユーザーを一致させようとします。複数の属性は、パイプ("|")記号で区切ることによって指定できます。 |
ユーザー有効属性 |
OpenLDAPサーバーのスキーマが、アカウントが無効またはロックされているかどうかを判断するために評価できるユーザー属性をサポートしている場合、その属性の名前を入力してください。デフォルトのOpenLDAPスキーマはこれをサポートしておらず、通常はこのフィールドは空のままにしておくべきです。 |
無効ステータスビットマスク |
これは無効/ロックされたユーザーアカウントの値です。`User Enabled Attribute`が空の場合、パラメータは無視されます。 |
グループスキーマ設定
以下の表は、グループスキーマ設定のパラメータの詳細を示しています。
| パラメータ | 説明 |
|---|---|
オブジェクトクラス |
ドメイン内のグループエントリに使用されるオブジェクトクラスの名前です。定義されている場合、オブジェクトクラスの名前のみを指定し、LDAPラッパー(例: &(objectClass=xxxx))には_含めない_ようにしてください。 |
名前属性 |
表示名に適した値を持つグループ属性です。 |
グループメンバーユーザー属性 |
*ユーザー属性*の名前で、その値の形式が`Group Member Mapping Attribute`のグループメンバーと一致します。 |
グループメンバーマッピング属性 |
グループのメンバーを含むグループ属性の名前です。 |
検索属性 |
UIでグループをクラスターやプロジェクトに追加する際に検索フィルターを構築するために使用される属性です。ユーザースキーマ`Search Attribute`の説明を参照してください。 |
グループDN属性 |
ユーザーのグループメンバーシップ属性の値と一致する形式のグループ属性の名前です。を参照してください。 |
ネストされたグループメンバーシップ |
この設定は、Rancherがネストされたグループメンバーシップを解決するかどうかを定義します。組織がこれらのネストされたメンバーシップを利用している場合のみ使用してください(つまり、他のグループをメンバーとして含むグループがあります)。Shibbolethを使用している場合、このオプションは無効になります。 |