使用FreeIPA账户作为Rancher认证用户来源

最新推荐文章于 2024-04-16 18:07:02 发布
最新推荐文章于 2024-04-16 18:07:02 发布
阅读量474 收藏 1
点赞数
分类专栏: K8S
原文链接:http://blog.davy.tw/tags/rancher/#fnref4
版权

1. 操作freeIPA

  • 准备Service Account

在开始把FreeIPA接进Rancher之前,Rancher要求先在IPA里面建立一个Service Account来提供Rancher查询Domain下的使用者和群组,但建立Service Account的步骤无法从FreeIPA Web界面执行,必须手动把这个Service Account 加入LDAP。因此,我们首先到IPA master节点上执行下列命令:(假设 IPA domain为www.example.com)。

# cat - <<-EOF > add-srvacct-rancher.ldif
dn: uid=rancher,cn=sysaccounts,cn=etc,dc=example,dc=com
changetype: add
objectclass: account
objectclass: simplesecurityobject
uid: rancher
userPassword: 2Brq/Ux4rs:2Dnt3#%Rx
nsIdleTimeout: 0
EOF

# ldapmodify -x -D 'cn=Directory Manager' -W < add-srvacct-rancher.ldif
Enter LDAP Password: # Enter Dircetory Manager password
adding new entry "uid=rancher,cn=sysaccounts,cn=etc,dc=example,dc=com"

其中,dc=example、dc=com记得换成自己的IPA domain,以及记下产生的userPassword(笔者是使用密码生成器生成),这会在Rancher设定中用到。


2. 设置Rancher

首先,登录有administrator权限的rancher账户,并按照以下步骤设置FreeIPA Authentication。

  • 在Global域中,选择Security —> Authentication

  • 选择FreeIPA,填入FreeIPA服务器信息

  • 在Service Account中填入上面建立的Service Account

Service Account Distinguished Name记得换成IPA domain ,uid=rancher, cn=sysaccounts, cn=etc, dc=example, dc=com,Service Account Password填入刚刚建立的userPassword值。

  • 填入使用者的相关信息
User Search Base(記得換成 IPA domain)
cn=users,cn=accounts,dc=example,dc=com
Group Search Base(記得换成 IPA domain)
cn=groups,cn=accounts,dc=example,dc=com
  • 在Customize Schema部分,调整使用者的账号信息

Username Attribute(使用者显示名称),displayName,Login Attribute(使用者账号),uid,Search Attribute(在搜寻使用者时,会去寻找的拦位,预设是姓名和账号)
uid

  • 在Test and enable authentication中,填入与当前登录rancher账号对应的FreeIPA账号信息

根据Rancher的说明,在这里填入的FreeIPA账号(external principal)会自对对应到目前已登录的用来设定freeipa的账号(local principal),并在设定成功之后,自动改用该FreeIPA账号(external principal)登录Rancher。

  • 在设定完成后,点击Authenticate with FreeIPA,即可完成设定
Locutus
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FreeIPA 统一身份认证实现
悦分享
12-02 4183
1. FreeIPA简介FreeIPA是一个用于Linux/Unix环境开源的身份管理系统,提供集中式帐户管理和身份验证,与Windows Active Directory或LDAP的作用类似。FreeIPA集成了389目录服务器、MIT Kerberos、Apache HTTP服务器、NTP、DNS、Dogtag(证书系统)和SSSD,使其成为标识管理、策略管理和执行审计跟踪的安全解决方案。
企业级集中身份认证及授权管理实践freeipa
热门推荐
xuyaqun的专栏
06-06 1万+
一、背景 随着公司服务器、服务、用户越来越多,以前单机用户管理、单机sudo授权的方式已不是发展的要求,故需要做企业级的集中身份认证授权管理(比如:ldap、kerberos、ca、dns、sudo、密码策略),原因有三: 1、便于大规模集中管理, 2、能够实现单点登录SSO, 3、结合堡垒机实现双层授权、双层审计。经过简单考察发现freeipa是个不错的选择: 1、all in one,
使用freeipa 搭建(用户管理)统一认证平台
最新发布
Yunzhong_jiuxiao的博客
04-16 559
用户管理 统一认证平台
curl 无证书访问https_Kubernetes身份认证和授权操作全攻略:访问控制之Service Account...
weixin_39611666的博客
12-28 508
这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service account。Kubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。...
0563-06-如何在FreeIPA上管理域名解析
Hadoop_SC的博客
11-23 713
1 文档编写目的 前面Fayson文章讲了《0558-01-如何在Redhat7上安装FreeIPA》、《0559-02-如何在Redhat7上安装FreeIPA的客户端》等,文中也介绍了FreeIPA集成了DNS服务。在安装CDSW服务时则需要为服务器配置泛域名解析,本篇文章主要介绍如何在FreeIPA上添加DNS的泛域名解析。 测试环境 1.RedHat7.3 2.FreeIPA4.6.4...
使用Rancher在Kubernetes上进行微服务部署
02-25
大多数人在生产环境中运行Docker,是把它作为构建和移动部署配置的一种方式。然而,他们的部署模型要么...在Kubernetes官方文档中可以找到如何在不同环境下创建Kubernetes集群,本文中我主要讲解使用Rancher容器管理平
rancher搭建和使用
03-14
1、rancher搭建 2、rancher自带的monitor部署 3、longhorn搭建和泗洪 2、应用部署使用,pv使用
Rancher:我不使用Rancher
02-14
Rancher1.6.14CentOS的7 vagrant upvagrant ssh rancher (选项) # vagrant box add generic/centos7 --provider "virtualbox" --insecure# vagrant plugin uninstall vagrant-vbguestDocker 17.12.0-CE sudo yum ...
Rancher Fleet使用教程.html
12-08
当前官网版本为v0.3.0,但在实践中发现此版本使用私有仓库无法正常工作,更新为v0.3.1可正常使用;有一些官方文档说的不清楚的地方,在这篇博客中进行了完善; 所有笔记均为本人大量实验验证后记录的;
Django 2.1 通过LDAP 调用 FreeIPA账户信息 例子
weixin_34273479的博客
08-27 264
本文为Django 2.1 通过LDAP 调用 FreeIPA账户信息 例子。 FreeIPA 的搭建,可以参考我上一篇博客 https://blog.51cto.com/hequan/2164114 测试环境记得修改 django运行环境的 /etc/hosts文件 Freeipa ip 域名 软件版本: Django==2.1 django-auth-ldap==1....
Rancher清理节点
耕耘
10-09 821
本文介绍了rancher安装失败,如何清理节点
[11月20日的脚本] 在RADIUS 代理服务器中同步配置
微软一站式示例脚本库 中文官方博客
11-26 908
脚本下载: SyncNPSConfiguration.zip  http://gallery.technet.microsoft.com/scriptcenter/Synchronizes-configurations-983962bf 该脚本用于同步同一个域中的不同NPS代理服务器中的NPS配置。 有时,你也许需要配置多个RADIUS服务器而并非一台中心RADIUS服务器和一些代理服务器。
ups在线式服务器,简述在线式UPS三种常见的供电模式。
weixin_39612733的博客
07-29 2755
RADIUS服务器使用RADIUS协议完成对用户主机的认证、授权和计费时,RADIUS协议工作流程如下:(a)用户使用ADSL拨号上网;(b)BRAS从用户处获取用户名和口令,将其与用户其他信息(如接入号码)发送到 RADIUS服务器,该报文为(1);(c)RADIUS服务器收到上述报文后,通过(2)判断BRAS是否己经在本服务器登记注册,若注册,根据报文中的用户名、口令等信息认证用户是否合法。若...
Rancher2.x 对接外部认证系统
IT老男孩
01-08 458
本文永久链接: https://www.xtplayer.cn/rancher/authentication/rancher2-authentication/Rancher 为 Kubernetes 增强的一个关键功能是集中用户身份验证,此功能允许您的用户使用一组凭据对所有 Kubernetes 集群进行身份验证。此集中式用户身份验证是使用 Rancher 身份验证代理完成的,该代理与 Ranch...
连接freeipa验证ldap登录,java代码demo
vah101的专栏
04-11 2138
import com.sun.org.apache.xerces.internal.impl.dv.util.*; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.util.Hashtable; import java.util.logging....
kubernetes集群配置serviceaccount
weixin_34097242的博客
01-31 245
Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。 Kubernetes提供了Secret来处理敏感信息,目前Secret的类型有3种: Opaque(default): 任意字符串 kubernetes.io/service-account-token: 作用于Serv...
在Kubernetes Pod中使用Service Account访问API Server
大树叶 技术专栏
11-25 7205
Kubernetes API Server是整个Kubernetes集群的核心,我们不仅有从集群外部访问API Server的需求,有时,我们还需要从Pod的内部访问API Server。 然而,在生产环境中,Kubernetes API Server都是“设防”的。在《Kubernetes集群的安全配置》一文中,我提到过:Kubernetes通过client cert、static t
史上最全的FreeIPA搭建教程(二)
如果我写的内容,对您有所帮助,麻烦点个赞,评论下,谢谢
12-22 2221
如有疑问,请私信我!!!! 码字儿截图不容易啊 1、web后台使用教程 名字显示是反的,需要改成正确的 2、FreeIPA更新证书 默认的证书都是2年时间,到期不更新后果的就是所有账号都无法登录了 #所有跟踪的证书 getcert list #所有 IPA 颁发的证书 getcert list -c IPA #手动续订证书 默认情况下,证书颁发者将在证书过期前 28 天开始尝试续订证书。 如果要在证书到期日期之前手动续订证书,请运行: ipa-getcert res
kubernetes集群配置serviceaccount;Service Account和RBAC授权
码农崛起
04-17 1879
https://blog.51cto.com/ylw6006/2067326 Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。 Kubernetes提供了Secret来处理敏感信息,目前Secret的类型有3种: Opaque(default): 任意字符串...
使用Rancher构建Kubernetes管理平台
"该文档是关于使用Rancher搭建Kubernetes (k8s) 容器管理平台的指南。Rancher是一个流行的开源工具,它提供了用于管理Kubernetes集群的用户界面和API。通过Rancher用户可以轻松地部署和管理Kubernetes集群,以及在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值