Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Referência de Configuração do OpenLDAP

Para mais detalhes sobre a configuração da autenticação OpenLDAP, consulte a documentação oficial.

Antes de prosseguir com a configuração, familiarize-se com os conceitos de Configuração de Autenticação Externa e Usuários Principais.

Contexto: Fluxo de Autenticação do OpenLDAP

  1. Quando um usuário tenta fazer login com credenciais LDAP, o Rancher cria um vínculo inicial com o servidor LDAP usando uma conta de serviço com permissões para pesquisar o diretório e ler atributos de usuário/grupo.

  2. O Rancher então pesquisa o diretório pelo usuário usando um filtro de pesquisa baseado no nome de usuário fornecido e nos mapeamentos de atributos configurados.

  3. Uma vez que o usuário foi encontrado, ele é autenticado com outra solicitação de vínculo LDAP usando o DN do usuário e a senha fornecida.

  4. Uma vez que a autenticação foi bem-sucedida, o Rancher resolve as associações de grupo tanto a partir do atributo de associação no objeto do usuário quanto realizando uma pesquisa de grupo com base no atributo de mapeamento de usuário configurado.

Configuração do Servidor OpenLDAP

Você precisará inserir o endereço, a porta e o protocolo para se conectar ao seu servidor OpenLDAP. 389 é a porta padrão para tráfego inseguro, 636 para tráfego TLS.

Usando TLS?

Se o certificado usado pelo servidor OpenLDAP for autoassinado ou não for de uma autoridade certificadora reconhecida, certifique-se de ter em mãos o certificado CA (concatenado com quaisquer certificados intermediários) no formato PEM. Você terá que colar este certificado durante a configuração para que o Rancher consiga validar a cadeia de certificados.

Se você tiver dúvidas sobre os valores corretos a serem inseridos nos campos de configuração da Base de Pesquisa de usuário/grupo, consulte seu administrador LDAP ou consulte a seção Identificar Base de Pesquisa e Esquema usando ldapsearch na documentação de autenticação do Active Directory.

Table 1. Parâmetros do Servidor OpenLDAP
Parâmetro Descrição

Nome do host

Especifique o nome do host ou o endereço IP do servidor OpenLDAP

Portar

Especifique a porta na qual o servidor OpenLDAP está ouvindo por conexões. LDAP não criptografado normalmente usa a porta padrão 389, enquanto LDAPS usa a porta 636.

TLS

Marque esta caixa para habilitar LDAP sobre SSL/TLS (comumente conhecido como LDAPS). Você também precisará colar o certificado CA se o servidor usar um certificado autoassinado/assinado por uma autoridade certificadora interna.

Tempo de Espera da Conexão do Servidor

A duração em número de segundos que o Rancher aguarda antes de considerar o servidor inacessível.

Nome Distinto da Conta de Serviço

Insira o Nome Distinto (DN) do usuário que deve ser usado para vincular, pesquisar e recuperar entradas LDAP.

Senha da Conta de Serviço

A senha para a conta de serviço.

Base de Pesquisa de Usuário

Insira o Nome Distinto do nó em sua árvore de diretório a partir do qual começar a buscar objetos de usuário. Todos os usuários devem ser descendentes deste DN base. Por exemplo: "ou=people,dc=acme,dc=com".

Base de Pesquisa de Grupo

Se seus grupos estiverem em um nó diferente do configurado em User Search Base, você precisará fornecer o Nome Distinto aqui. Caso contrário, deixe este campo vazio. Por exemplo: "ou=groups,dc=acme,dc=com".

Configuração do Esquema de Usuário/Grupo

Se seu diretório OpenLDAP desviar do esquema padrão do OpenLDAP, você deve completar a seção Personalizar Esquema para corresponder a ele.

Observe que os mapeamentos de atributos configurados nesta seção são usados pelo Rancher para construir filtros de pesquisa e resolver a associação de grupos. Portanto, é sempre recomendado verificar se a configuração aqui corresponde ao esquema usado em seu OpenLDAP.

Se você não estiver familiarizado com o esquema de usuário/grupo usado no servidor OpenLDAP, consulte seu administrador LDAP ou consulte a seção Identificar Base de Pesquisa e Esquema usando ldapsearch na documentação de autenticação do Active Directory.

Configuração do Esquema de Usuário

A tabela abaixo detalha os parâmetros para a configuração do esquema de usuário.

Table 2. Parâmetros de Configuração do Esquema do Usuário
Parâmetro Descrição

Classe de objeto

O nome da classe de objeto usada para objetos de usuário em seu domínio. Se definido, especifique apenas o nome da classe de objeto - não inclua-o em um agrupador LDAP como &(objectClass=xxxx)

Atributo de Nome de Usuário

O atributo do usuário cujo valor é adequado como um nome de exibição.

Atributo de Login

O atributo cujo valor corresponde à parte do nome de usuário das credenciais inseridas por seus usuários ao fazer login no Rancher. Isso é tipicamente uid.

Atributo de Membro do Usuário

O atributo do usuário que contém o Nome Distinto dos grupos dos quais um usuário é membro. Normalmente, isso é um dos memberOf ou isMemberOf.

Atributo de pesquisa

Quando um usuário insere texto para adicionar usuários ou grupos na interface, o Rancher consulta o servidor LDAP e tenta corresponder usuários pelos atributos fornecidos nesta configuração. Vários atributos podem ser especificados separando-os com o símbolo pipe ("|").

Atributo de Usuário Habilitado

Se o esquema do seu servidor OpenLDAP suportar um atributo de usuário cujo valor pode ser avaliado para determinar se a conta está desativada ou bloqueada, insira o nome desse atributo. O esquema padrão do OpenLDAP não suporta isso e o campo geralmente deve ser deixado em branco.

Máscara de Status Desativado

Este é o valor para uma conta de usuário desativada/bloqueada. O parâmetro é ignorado se User Enabled Attribute estiver vazio.

Configuração do Esquema de Grupo

A tabela abaixo detalha os parâmetros para a configuração do esquema de grupo.

Table 3. Parâmetros de Configuração do Esquema de Grupo
Parâmetro Descrição

Classe de objeto

O nome da classe de objeto usada para entradas de grupo em seu domínio. Se definido, especifique apenas o nome da classe de objeto - não inclua-o em um agrupador LDAP como &(objectClass=xxxx)

Atributo de Nome

O atributo de grupo cujo valor é adequado para um nome de exibição.

Atributo de Usuário Membro do Grupo

O nome do atributo de usuário cujo formato corresponde aos membros do grupo no Group Member Mapping Attribute.

Atributo de Mapeamento de Membro do Grupo

O nome do atributo de grupo que contém os membros de um grupo.

Atributo de pesquisa

Atributo usado para construir filtros de pesquisa ao adicionar grupos a clusters ou projetos na interface do usuário. Consulte a descrição do esquema de usuário Search Attribute.

Atributo DN do Grupo

O nome do atributo de grupo cujo formato corresponde aos valores no atributo de associação de grupo do usuário. Consulte User Member Attribute.

Participação no Grupo Aninhado

Esta configuração define se o Rancher deve resolver associações de grupos aninhados. Use apenas se sua organização fizer uso dessas associações aninhadas (ou seja, você tem grupos que contêm outros grupos como membros). Esta opção está desativada se você estiver usando Shibboleth.