SupportConsoleDéveloppeursCommencer un essaiContact

18.6. Spécification de la configuration de la synchronisation LDAP

La spécification de l'objet pour le fichier de configuration est présentée ci-dessous. Notez que les différents objets du schéma ont des champs différents. Par exemple, v1.ActiveDirectoryConfig n'a pas de champ groupsQuery alors que v1.RFC2307Config et v1.AugmentedActiveDirectoryConfig en ont un.

Important

Les attributs binaires ne sont pas pris en charge. Toutes les données d'attributs provenant du serveur LDAP doivent être au format d'une chaîne codée en UTF-8. Par exemple, n'utilisez jamais un attribut binaire, tel que objectGUID, comme attribut d'identification. Vous devez plutôt utiliser des attributs de type chaîne, tels que sAMAccountName ou userPrincipalName.

18.6.1. v1.LDAPSyncConfig

LDAPSyncConfig contient les options de configuration nécessaires pour définir une synchronisation de groupe LDAP.

NomDescriptionSchéma

kind

Valeur de chaîne représentant la ressource REST que cet objet représente. Les serveurs peuvent déduire cette valeur du point d'accès auquel le client soumet ses demandes. Ne peut être mis à jour. En CamelCase. Plus d'informations : https://github.com/kubernetes/community/blob/master/contributors/devel/sig-architecture/api-conventions.md#types-kinds

chaîne de caractères

apiVersion

Définit le schéma versionné de cette représentation d'un objet. Les serveurs doivent convertir les schémas reconnus à la dernière valeur interne et peuvent rejeter les valeurs non reconnues. Plus d'informations : https://github.com/kubernetes/community/blob/master/contributors/devel/sig-architecture/api-conventions.md#resources

chaîne de caractères

url

Host est le schéma, l'hôte et le port du serveur LDAP auquel se connecter : scheme://host:port

chaîne de caractères

bindDN

DN facultatif pour se lier au serveur LDAP.

chaîne de caractères

bindPassword

Mot de passe facultatif à utiliser lors de la phase de recherche.

v1.StringSource

insecure

Si true, cela signifie que la connexion ne doit pas utiliser TLS. Si false, les URL ldaps:// se connectent en utilisant TLS et les URL ldap:// passent à une connexion TLS en utilisant StartTLS comme spécifié dans https://tools.ietf.org/html/rfc2830. Si vous définissez insecure sur true, vous ne pouvez pas utiliser les schémas d'URL ldaps://.

booléen

ca

Groupement facultatif d'autorités de certification de confiance à utiliser lors des demandes adressées au serveur. S'il est vide, les racines du système par défaut sont utilisées.

chaîne de caractères

groupUIDNameMapping

Option de mappage direct des UID de groupes LDAP vers les noms de groupes de OpenShift Container Platform.

objet

rfc2307

Contient la configuration pour l'extraction de données d'un serveur LDAP configuré d'une manière similaire à la RFC2307 : entrées de groupe et d'utilisateur de première classe, l'appartenance à un groupe étant déterminée par un attribut à valeurs multiples sur l'entrée du groupe énumérant ses membres.

v1.RFC2307Config

activeDirectory

Contient la configuration permettant d'extraire des données d'un serveur LDAP configuré d'une manière similaire à celle utilisée dans Active Directory : entrées d'utilisateurs de première classe, l'appartenance à un groupe étant déterminée par un attribut multivalué sur les membres énumérant les groupes dont ils sont membres.

v1.ActiveDirectoryConfig

augmentedActiveDirectory

Contient la configuration pour l'extraction de données d'un serveur LDAP configuré d'une manière similaire à celle utilisée dans Active Directory comme décrit ci-dessus, avec un ajout : des entrées de groupe de première classe existent et sont utilisées pour contenir des métadonnées mais pas l'appartenance à un groupe.

v1.AugmentedActiveDirectoryConfig

18.6.2. v1.StringSource

StringSource permet de spécifier une chaîne en ligne, ou en externe via une variable d'environnement ou un fichier. Lorsqu'elle ne contient qu'une chaîne de caractères, elle est transformée en une simple chaîne JSON.

NomDescriptionSchéma

value

Spécifie la valeur en clair, ou une valeur cryptée si keyFile est spécifié.

chaîne de caractères

env

Spécifie une variable d'environnement contenant la valeur en clair, ou une valeur cryptée si keyFile est spécifié.

chaîne de caractères

file

Renvoie à un fichier contenant la valeur en clair, ou une valeur cryptée si keyFile est spécifié.

chaîne de caractères

keyFile

Fait référence à un fichier contenant la clé à utiliser pour décrypter la valeur.

chaîne de caractères

18.6.3. v1.LDAPQuery

LDAPQuery contient les options nécessaires à l'élaboration d'une requête LDAP.

NomDescriptionSchéma

baseDN

DN de la branche du répertoire à partir de laquelle toutes les recherches doivent être effectuées.

chaîne de caractères

scope

L'étendue facultative de la recherche. Peut être base: uniquement l'objet de base, one: tous les objets du niveau de base, sub: le sous-arbre entier. La valeur par défaut est sub si elle n'est pas définie.

chaîne de caractères

derefAliases

Comportement facultatif de la recherche en ce qui concerne les alias. Peut être never: ne jamais déréférencer les alias, search: déréférencer uniquement lors de la recherche, base: déréférencer uniquement lors de la recherche de l'objet de base, always: toujours déréférencer. La valeur par défaut est always si elle n'est pas définie.

chaîne de caractères

timeout

Indique la limite de temps en secondes pendant laquelle une demande adressée au serveur peut rester en suspens avant que l'attente d'une réponse ne soit abandonnée. Si cette valeur est 0, aucune limite n'est imposée côté client.

entier

filter

Un filtre de recherche LDAP valide qui récupère toutes les entrées pertinentes du serveur LDAP avec le DN de base.

chaîne de caractères

pageSize

Taille maximale de la page préférée, mesurée en entrées LDAP. Une taille de page de 0 signifie qu'aucune pagination ne sera effectuée.

entier

18.6.4. v1.RFC2307Config

RFC2307Config contient les options de configuration nécessaires pour définir comment un sync de groupe LDAP interagit avec un serveur LDAP utilisant le schéma RFC2307.

NomDescriptionSchéma

groupsQuery

Contient le modèle d'une requête LDAP qui renvoie des entrées de groupe.

v1.LDAPQuery

groupUIDAttribute

Définit l'attribut d'une entrée de groupe LDAP qui sera interprété comme son identifiant unique. (ldapGroupUID)

chaîne de caractères

groupNameAttributes

Définit les attributs d'une entrée de groupe LDAP qui seront interprétés comme son nom à utiliser pour un groupe OpenShift Container Platform.

tableau de chaînes

groupMembershipAttributes

Définit les attributs d'une entrée de groupe LDAP qui seront interprétés comme ses membres. Les valeurs contenues dans ces attributs doivent pouvoir être interrogées par votre UserUIDAttribute.

tableau de chaînes

usersQuery

Contient le modèle d'une requête LDAP qui renvoie des entrées d'utilisateurs.

v1.LDAPQuery

userUIDAttribute

Définit l'attribut d'une entrée utilisateur LDAP qui sera interprété comme son identifiant unique. Il doit correspondre aux valeurs qui seront trouvées à partir de GroupMembershipAttributes.

chaîne de caractères

userNameAttributes

Définit les attributs d'une entrée utilisateur LDAP qui seront utilisés, dans l'ordre, comme nom d'utilisateur OpenShift Container Platform. Le premier attribut ayant une valeur non vide est utilisé. Cela doit correspondre à votre paramètre PreferredUsername pour votre LDAPPasswordIdentityProvider. L'attribut à utiliser comme nom de l'utilisateur dans l'enregistrement de groupe OpenShift Container Platform. mail ou sAMAccountName sont les choix préférés dans la plupart des installations.

tableau de chaînes

tolerateMemberNotFoundErrors

Détermine le comportement de la tâche de synchronisation LDAP lorsque des entrées d'utilisateurs manquantes sont rencontrées. Si true, une requête LDAP pour les utilisateurs qui n'en trouve pas sera tolérée et une erreur sera enregistrée. Si false, la tâche de synchronisation LDAP échouera si une recherche d'utilisateurs n'en trouve pas. La valeur par défaut est false. Les tâches de synchronisation LDAP mal configurées avec cet indicateur à true peuvent entraîner la suppression de l'appartenance à un groupe, il est donc recommandé d'utiliser cet indicateur avec prudence.

booléen

tolerateMemberOutOfScopeErrors

Détermine le comportement du travail de synchronisation LDAP lorsque des entrées d'utilisateurs hors du champ d'application sont rencontrées. Si true, une requête LDAP pour un utilisateur qui se situe en dehors du DN de base indiqué pour la requête "all user" sera tolérée et seule une erreur sera consignée. Si false, le travail de synchronisation LDAP échouera si une requête d'utilisateur cherche en dehors du DN de base spécifié par la requête "all user". Les tâches de synchronisation LDAP mal configurées avec cet indicateur à true peuvent entraîner l'absence d'utilisateurs dans les groupes, il est donc recommandé d'utiliser cet indicateur avec prudence.

booléen

18.6.5. v1.ActiveDirectoryConfig

ActiveDirectoryConfig contient les options de configuration nécessaires pour définir comment une synchronisation de groupe LDAP interagit avec un serveur LDAP utilisant le schéma Active Directory.

NomDescriptionSchéma

usersQuery

Contient le modèle d'une requête LDAP qui renvoie des entrées d'utilisateurs.

v1.LDAPQuery

userNameAttributes

Définit les attributs d'une entrée utilisateur LDAP qui seront interprétés comme son nom d'utilisateur OpenShift Container Platform. L'attribut à utiliser comme nom de l'utilisateur dans l'enregistrement de groupe OpenShift Container Platform. mail ou sAMAccountName sont les choix préférés dans la plupart des installations.

tableau de chaînes

groupMembershipAttributes

Définit les attributs d'une entrée utilisateur LDAP qui seront interprétés comme les groupes dont il est membre.

tableau de chaînes

18.6.6. v1.AugmentedActiveDirectoryConfig

AugmentedActiveDirectoryConfig contient les options de configuration nécessaires pour définir comment une synchronisation de groupe LDAP interagit avec un serveur LDAP utilisant le schéma Active Directory augmenté.

NomDescriptionSchéma

usersQuery

Contient le modèle d'une requête LDAP qui renvoie des entrées d'utilisateurs.

v1.LDAPQuery

userNameAttributes

Définit les attributs d'une entrée utilisateur LDAP qui seront interprétés comme son nom d'utilisateur OpenShift Container Platform. L'attribut à utiliser comme nom de l'utilisateur dans l'enregistrement de groupe OpenShift Container Platform. mail ou sAMAccountName sont les choix préférés dans la plupart des installations.

tableau de chaînes

groupMembershipAttributes

Définit les attributs d'une entrée utilisateur LDAP qui seront interprétés comme les groupes dont il est membre.

tableau de chaînes

groupsQuery

Contient le modèle d'une requête LDAP qui renvoie des entrées de groupe.

v1.LDAPQuery

groupUIDAttribute

Définit l'attribut d'une entrée de groupe LDAP qui sera interprété comme son identifiant unique. (ldapGroupUID)

chaîne de caractères

groupNameAttributes

Définit les attributs d'une entrée de groupe LDAP qui seront interprétés comme son nom à utiliser pour un groupe OpenShift Container Platform.

tableau de chaînes

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.