|
本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。 |
配置 OpenLDAP
如果您的组织使用 LDAP 进行用户身份验证,您可以配置 Rancher 与 OpenLDAP 服务器通信以验证用户。这允许 Rancher 管理员根据在组织的中央用户库中外部管理的用户和组控制对集群和项目的访问,同时允许最终用户在登录 Rancher UI 时使用其 LDAP 凭据进行身份验证。
先决条件
Rancher必须配置一个LDAP绑定账户(即服务账户),以搜索和检索与应有访问权限的用户和组相关的LDAP条目。建议不要使用管理员账户或个人账户,而是创建一个在OpenLDAP中具有只读访问权限的专用账户,以访问配置的搜索基础下的用户和组(见下文)。
使用 TLS?
如果 OpenLDAP 服务器使用的证书是自签名的或不是来自受认可的证书颁发机构,请确保手头有 CA 证书(与任何中间证书连接在一起),格式为 PEM。您需要在配置过程中粘贴此证书,以便Rancher能够验证证书链。
在Rancher中配置OpenLDAP
配置OpenLDAP服务器、组和用户的设置。有关填写每个字段的帮助,请参阅 配置参考。
在继续配置之前,请熟悉外部身份验证配置和主要用户的概念。
-
在左上角,点击 ☰ > 用户与身份验证。
-
在左侧导航菜单中,点击 身份验证提供者。
-
单击 OpenLDAP。填写 配置 OpenLDAP 服务器 表单。
-
单击 启用。
测试鉴定
完成配置后,继续测试与 OpenLDAP 服务器的连接。如果测试成功,将隐式启用与 OpenLDAP 的身份验证。
|
与此步骤中输入的凭据相关的 OpenLDAP 用户将映射到本地主体帐户,并在 Rancher 中分配管理员权限。因此,您应该对使用哪个 LDAP 帐户执行此步骤做出明确的决定。 |
-
输入应映射到本地主体帐户的 OpenLDAP 帐户的 用户名 和 密码。
-
单击 使用 OpenLDAP 进行身份验证 测试 OpenLDAP 连接并完成设置。
结果:
-
OpenLDAP 身份验证已配置。
-
与输入的凭据相关的 LDAP 用户将映射到本地主体(管理员)帐户。
|
在 LDAP 服务中断的情况下,您仍然可以使用本地配置的 |
附录:查错
如果在测试与OpenLDAP服务器的连接时遇到问题,请首先仔细检查输入的服务账户凭据以及搜索基础配置。您还可以检查Rancher日志,以帮助确定问题的原因。调试日志可能包含有关错误的更详细信息。请参阅如何启用调试日志中的文档。