本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。

OpenLDAP 配置参考

有关配置 OpenLDAP 身份验证的更多详细信息,请参阅 官方文档。

在继续配置之前,请熟悉 外部身份验证配置和主要用户 的概念。

背景:OpenLDAP 身份验证流程

  1. 当用户尝试使用 LDAP 凭据登录时,Rancher 会使用具有搜索目录和读取用户/组属性权限的服务帐户创建与 LDAP 服务器的初始绑定。

  2. 然后,Rancher 根据提供的用户名和配置的属性映射在目录中搜索该用户。

  3. 一旦找到用户,他们将使用用户的 DN 和提供的密码进行另一个 LDAP 绑定请求进行身份验证。

  4. 一旦身份验证成功,Rancher 将根据用户对象中的成员属性和基于配置的用户映射属性执行组搜索来解析组成员资格。

OpenLDAP 服务器配置

您需要输入地址、端口和协议以连接到您的 OpenLDAP 服务器。389 是不安全流量的标准端口,636 是 TLS 流量的端口。

使用 TLS?

如果 OpenLDAP 服务器使用的证书是自签名的或不是来自受认可的证书颁发机构,请确保手头有 CA 证书(与任何中间证书连接在一起),格式为 PEM。您需要在配置过程中粘贴此证书,以便Rancher能够验证证书链。

如果您对用户/组搜索基础配置字段中要输入的正确值有疑问,请咨询您的 LDAP 管理员或参考 Active Directory 身份验证文档中 使用 ldapsearch 确定搜索基础和模式 的部分。

Table 1. OpenLDAP 服务器参数
参数 说明

主机名

指定 OpenLDAP 服务器的主机名或 IP 地址

端口

指定 OpenLDAP 服务器监听连接的端口。未加密的 LDAP 通常使用标准端口 389,而 LDAPS 使用端口 636。

TLS

选中此框以启用 SSL/TLS 上的 LDAP(通常称为 LDAPS)。如果服务器使用自签名/企业签名证书,您还需要粘贴 CA 证书。

服务器连接超时

Rancher 在认为服务器不可达之前等待的秒数。

服务帐户的可分辨名称

输入应用于绑定、搜索和检索 LDAP 条目的用户的可分辨名称 (DN)。

服务帐户密码

服务帐户的密码。

用户搜索基础

输入您目录树中开始搜索用户对象的节点的可分辨名称。所有用户必须是此基础 DN 的后代。例如:"ou=people,dc=acme,dc=com"。

组搜索基础

如果您的组位于与 User Search Base 下配置的节点不同的节点下,您需要在此提供可分辨名称。否则,请将该字段保留为空。例如:"ou=groups,dc=acme,dc=com"。

用户/组架构配置

如果您的 OpenLDAP 目录偏离标准 OpenLDAP 架构,您必须完成 自定义架构 部分以使其匹配。

请注意,此部分中配置的属性映射由 Rancher 用于构建搜索过滤器和解析组成员资格。因此,始终建议验证此处的配置与您的 OpenLDAP 中使用的架构匹配。

如果您对 OpenLDAP 服务器中使用的用户/组架构不熟悉,请咨询您的 LDAP 管理员或参考 Active Directory 认证文档中的 使用 ldapsearch 确定搜索基础和模式 部分。

用户架构配置

下表详细说明了用户架构配置的参数。

Table 2. 用户架构配置参数
参数 说明

对象类

用于您域中用户对象的对象类名称。如果定义,只需指定对象类的名称 - 不要 将其包含在如 &(objectClass=xxxx) 的 LDAP 封装程序中。

用户名属性

适合作为显示名称的用户属性值。

登录属性

与用户在登录 Rancher 时输入的凭据的用户名部分匹配的属性值。这通常是 uid

用户成员属性

包含用户所属组的区分名称的用户属性。通常这是 memberOfisMemberOf 之一。

搜索属性

当用户在 UI 中输入文本以添加用户或组时,Rancher 查询 LDAP 服务器并尝试通过此设置中提供的属性匹配用户。可以通过用管道 ("|") 符号分隔来指定多个属性。

用户启用属性

如果您的 OpenLDAP 服务器的架构支持可以评估的用户属性值,以确定帐户是否被禁用或锁定,请输入该属性的名称。默认的 OpenLDAP 架构不支持此功能,通常应将该字段留空。

禁用状态位掩码

这是禁用/锁定用户帐户的值。如果 User Enabled Attribute 为空,则该参数被忽略。

组架构配置

下表详细说明了组架构配置的参数。

Table 3. 组架构配置参数
参数 说明

对象类

用于您域中组条目的对象类名称。如果定义,只需指定对象类的名称 - 不要 将其包含在如 &(objectClass=xxxx) 的 LDAP 封装程序中。

名称属性

适合显示名称的组属性值。

组成员用户属性

*用户属性*的名称,其格式与`Group Member Mapping Attribute`中的组成员匹配。

组成员映射属性

包含组成员的组属性名称。

搜索属性

在UI中将组添加到集群或项目时,用于构建搜索过滤器的属性。请参见用户架构`Search Attribute`的描述。

组DN属性

组属性的名称,其格式与用户的组成员属性中的值匹配。请参见`User Member Attribute`。

嵌套组成员资格

此设置定义Rancher是否应解析嵌套组成员资格。仅在您的组织使用这些嵌套成员资格时使用(即,您有包含其他组作为成员的组)。如果您使用Shibboleth,则此选项被禁用。