18.6. Spécification de la configuration de la synchronisation LDAP

kind

Valeur de chaîne représentant la ressource REST que cet objet représente. Les serveurs peuvent déduire cette valeur du point d'accès auquel le client soumet ses demandes. Ne peut être mis à jour. En CamelCase. Plus d'informations : https://github.com/kubernetes/community/blob/master/contributors/devel/sig-architecture/api-conventions.md#types-kinds

chaîne de caractères

apiVersion

Définit le schéma versionné de cette représentation d'un objet. Les serveurs doivent convertir les schémas reconnus à la dernière valeur interne et peuvent rejeter les valeurs non reconnues. Plus d'informations : https://github.com/kubernetes/community/blob/master/contributors/devel/sig-architecture/api-conventions.md#resources

chaîne de caractères

url

Host est le schéma, l'hôte et le port du serveur LDAP auquel se connecter : scheme://host:port

chaîne de caractères

bindDN

DN facultatif pour se lier au serveur LDAP.

chaîne de caractères

bindPassword

Mot de passe facultatif à utiliser lors de la phase de recherche.

v1.StringSource

insecure

Si true, cela signifie que la connexion ne doit pas utiliser TLS. Si false, les URL ldaps:// se connectent en utilisant TLS et les URL ldap:// passent à une connexion TLS en utilisant StartTLS comme spécifié dans https://tools.ietf.org/html/rfc2830. Si vous définissez insecure sur true, vous ne pouvez pas utiliser les schémas d'URL ldaps://.

booléen

ca

Groupement facultatif d'autorités de certification de confiance à utiliser lors des demandes adressées au serveur. S'il est vide, les racines du système par défaut sont utilisées.

chaîne de caractères

groupUIDNameMapping

Option de mappage direct des UID de groupes LDAP vers les noms de groupes de OpenShift Container Platform.

objet

rfc2307

Contient la configuration pour l'extraction de données d'un serveur LDAP configuré d'une manière similaire à la RFC2307 : entrées de groupe et d'utilisateur de première classe, l'appartenance à un groupe étant déterminée par un attribut à valeurs multiples sur l'entrée du groupe énumérant ses membres.

v1.RFC2307Config

activeDirectory

Contient la configuration permettant d'extraire des données d'un serveur LDAP configuré d'une manière similaire à celle utilisée dans Active Directory : entrées d'utilisateurs de première classe, l'appartenance à un groupe étant déterminée par un attribut multivalué sur les membres énumérant les groupes dont ils sont membres.

v1.ActiveDirectoryConfig

augmentedActiveDirectory

Contient la configuration pour l'extraction de données d'un serveur LDAP configuré d'une manière similaire à celle utilisée dans Active Directory comme décrit ci-dessus, avec un ajout : des entrées de groupe de première classe existent et sont utilisées pour contenir des métadonnées mais pas l'appartenance à un groupe.

v1.AugmentedActiveDirectoryConfig

value

Spécifie la valeur en clair, ou une valeur cryptée si keyFile est spécifié.

chaîne de caractères

env

Spécifie une variable d'environnement contenant la valeur en clair, ou une valeur cryptée si keyFile est spécifié.

chaîne de caractères

file

Renvoie à un fichier contenant la valeur en clair, ou une valeur cryptée si keyFile est spécifié.

chaîne de caractères

keyFile

Fait référence à un fichier contenant la clé à utiliser pour décrypter la valeur.

chaîne de caractères

baseDN

DN de la branche du répertoire à partir de laquelle toutes les recherches doivent être effectuées.

chaîne de caractères

scope

L'étendue facultative de la recherche. Peut être base: uniquement l'objet de base, one: tous les objets du niveau de base, sub: le sous-arbre entier. La valeur par défaut est sub si elle n'est pas définie.

chaîne de caractères

derefAliases

Comportement facultatif de la recherche en ce qui concerne les alias. Peut être never: ne jamais déréférencer les alias, search: déréférencer uniquement lors de la recherche, base: déréférencer uniquement lors de la recherche de l'objet de base, always: toujours déréférencer. La valeur par défaut est always si elle n'est pas définie.

chaîne de caractères

timeout

Indique la limite de temps en secondes pendant laquelle une demande adressée au serveur peut rester en suspens avant que l'attente d'une réponse ne soit abandonnée. Si cette valeur est 0, aucune limite n'est imposée côté client.

entier

filter

Un filtre de recherche LDAP valide qui récupère toutes les entrées pertinentes du serveur LDAP avec le DN de base.

chaîne de caractères

pageSize

Taille maximale de la page préférée, mesurée en entrées LDAP. Une taille de page de 0 signifie qu'aucune pagination ne sera effectuée.

entier

groupsQuery

Contient le modèle d'une requête LDAP qui renvoie des entrées de groupe.

v1.LDAPQuery

groupUIDAttribute

Définit l'attribut d'une entrée de groupe LDAP qui sera interprété comme son identifiant unique. (ldapGroupUID)

chaîne de caractères

groupNameAttributes

Définit les attributs d'une entrée de groupe LDAP qui seront interprétés comme son nom à utiliser pour un groupe OpenShift Container Platform.

tableau de chaînes

groupMembershipAttributes

Définit les attributs d'une entrée de groupe LDAP qui seront interprétés comme ses membres. Les valeurs contenues dans ces attributs doivent pouvoir être interrogées par votre UserUIDAttribute.

tableau de chaînes

usersQuery

Contient le modèle d'une requête LDAP qui renvoie des entrées d'utilisateurs.

v1.LDAPQuery

userUIDAttribute

Définit l'attribut d'une entrée utilisateur LDAP qui sera interprété comme son identifiant unique. Il doit correspondre aux valeurs qui seront trouvées à partir de GroupMembershipAttributes.

chaîne de caractères

userNameAttributes

Définit les attributs d'une entrée utilisateur LDAP qui seront utilisés, dans l'ordre, comme nom d'utilisateur OpenShift Container Platform. Le premier attribut ayant une valeur non vide est utilisé. Cela doit correspondre à votre paramètre PreferredUsername pour votre LDAPPasswordIdentityProvider. L'attribut à utiliser comme nom de l'utilisateur dans l'enregistrement de groupe OpenShift Container Platform. mail ou sAMAccountName sont les choix préférés dans la plupart des installations.

tableau de chaînes

tolerateMemberNotFoundErrors

Détermine le comportement de la tâche de synchronisation LDAP lorsque des entrées d'utilisateurs manquantes sont rencontrées. Si true, une requête LDAP pour les utilisateurs qui n'en trouve pas sera tolérée et une erreur sera enregistrée. Si false, la tâche de synchronisation LDAP échouera si une recherche d'utilisateurs n'en trouve pas. La valeur par défaut est false. Les tâches de synchronisation LDAP mal configurées avec cet indicateur à true peuvent entraîner la suppression de l'appartenance à un groupe, il est donc recommandé d'utiliser cet indicateur avec prudence.

booléen

tolerateMemberOutOfScopeErrors

Détermine le comportement du travail de synchronisation LDAP lorsque des entrées d'utilisateurs hors du champ d'application sont rencontrées. Si true, une requête LDAP pour un utilisateur qui se situe en dehors du DN de base indiqué pour la requête "all user" sera tolérée et seule une erreur sera consignée. Si false, le travail de synchronisation LDAP échouera si une requête d'utilisateur cherche en dehors du DN de base spécifié par la requête "all user". Les tâches de synchronisation LDAP mal configurées avec cet indicateur à true peuvent entraîner l'absence d'utilisateurs dans les groupes, il est donc recommandé d'utiliser cet indicateur avec prudence.

booléen

usersQuery

Contient le modèle d'une requête LDAP qui renvoie des entrées d'utilisateurs.

v1.LDAPQuery

userNameAttributes

Définit les attributs d'une entrée utilisateur LDAP qui seront interprétés comme son nom d'utilisateur OpenShift Container Platform. L'attribut à utiliser comme nom de l'utilisateur dans l'enregistrement de groupe OpenShift Container Platform. mail ou sAMAccountName sont les choix préférés dans la plupart des installations.

tableau de chaînes

groupMembershipAttributes

Définit les attributs d'une entrée utilisateur LDAP qui seront interprétés comme les groupes dont il est membre.

tableau de chaînes

usersQuery

Contient le modèle d'une requête LDAP qui renvoie des entrées d'utilisateurs.

v1.LDAPQuery

userNameAttributes

Définit les attributs d'une entrée utilisateur LDAP qui seront interprétés comme son nom d'utilisateur OpenShift Container Platform. L'attribut à utiliser comme nom de l'utilisateur dans l'enregistrement de groupe OpenShift Container Platform. mail ou sAMAccountName sont les choix préférés dans la plupart des installations.

tableau de chaînes

groupMembershipAttributes

Définit les attributs d'une entrée utilisateur LDAP qui seront interprétés comme les groupes dont il est membre.

tableau de chaînes

groupsQuery

Contient le modèle d'une requête LDAP qui renvoie des entrées de groupe.

v1.LDAPQuery

groupUIDAttribute

Définit l'attribut d'une entrée de groupe LDAP qui sera interprété comme son identifiant unique. (ldapGroupUID)

chaîne de caractères

groupNameAttributes

Définit les attributs d'une entrée de groupe LDAP qui seront interprétés comme son nom à utiliser pour un groupe OpenShift Container Platform.

tableau de chaînes