15.4. Exemples de synchronisation de groupe LDAP
Cette section contient des exemples pour les schémas RFC 2307, Active Directory et Active Directory augmentés.
Ces exemples supposent que tous les utilisateurs sont des membres directs de leurs groupes respectifs. En particulier, aucun groupe n’a d’autres groupes en tant que membres. Consultez l’exemple de Sync d’adhésion imbriquée pour obtenir des informations sur la façon de synchroniser les groupes imbriqués.
15.4.1. La synchronisation des groupes à l’aide du schéma RFC 2307 Copier lienLien copié sur presse-papiers!
En ce qui concerne le schéma RFC 2307, les exemples suivants synchronisent un groupe nommé admins qui compte deux membres : Jane et Jim. Les exemples expliquent:
- Comment le groupe et les utilisateurs sont ajoutés au serveur LDAP.
- Ce que l’enregistrement du groupe résultant dans OpenShift Dedicated sera après synchronisation.
Ces exemples supposent que tous les utilisateurs sont des membres directs de leurs groupes respectifs. En particulier, aucun groupe n’a d’autres groupes en tant que membres. Consultez l’exemple de Sync d’adhésion imbriquée pour obtenir des informations sur la façon de synchroniser les groupes imbriqués.
Dans le schéma RFC 2307, les utilisateurs (Jane et Jim) et les groupes existent sur le serveur LDAP en tant qu’entrées de première classe, et l’adhésion au groupe est stockée dans des attributs du groupe. L’extrait suivant de ldif définit les utilisateurs et le groupe pour ce schéma:
Entrées LDAP utilisant le schéma RFC 2307: rfc2307.ldif
Conditions préalables
- Créer le fichier de configuration.
- En tant qu’utilisateur, vous avez accès au cluster avec le rôle d’administrateur dédié.
Procédure
Exécutez la synchronisation avec le fichier rfc2307_config.yaml:
oc adm groups sync --sync-config=rfc2307_config.yaml --confirm
$ oc adm groups sync --sync-config=rfc2307_config.yaml --confirm
Copy to Clipboard Copied! Toggle word wrap Toggle overflow À la suite de l’opération de synchronisation ci-dessus, OpenShift Dedicated crée l’enregistrement de groupe suivant:
Groupe dédié créé à l’aide du fichier rfc2307_config.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- La dernière fois que ce groupe dédié OpenShift a été synchronisé avec le serveur LDAP, au format ISO 6801.
- 2
- L’identifiant unique pour le groupe sur le serveur LDAP.
- 3
- L’adresse IP et l’hôte du serveur LDAP où l’enregistrement de ce groupe est stocké.
- 4
- Le nom du groupe tel que spécifié par le fichier de synchronisation.
- 5
- Les utilisateurs qui sont membres du groupe, nommés comme spécifié par le fichier de synchronisation.
15.4.2. La synchronisation des groupes à l’aide du schéma RFC2307 avec des mappages de noms définis par l’utilisateur Copier lienLien copié sur presse-papiers!
Lorsque vous synchronisez des groupes avec des mappages de noms définis par l’utilisateur, le fichier de configuration change pour contenir ces mappages comme indiqué ci-dessous.
Configuration de synchronisation LDAP qui utilise le schéma RFC 2307 avec des mappages de noms définis par l’utilisateur: rfc2307_config_user_defined.yaml
- 1
- Le mappage de nom défini par l’utilisateur.
- 2
- L’attribut identifiant unique qui est utilisé pour les clés dans le mappage de nom défini par l’utilisateur. Lorsque vous utilisez DN pour groupUIDAttribute, vous ne pouvez pas spécifier les filtres groupUIDAttribute. Dans le cas d’un filtrage à grains fins, utilisez la méthode de la liste blanche/liste noire.
- 3
- L’attribut pour nommer OpenShift Groupes dédiés avec si leur identifiant unique n’est pas dans le mappage de nom défini par l’utilisateur.
- 4
- L’attribut qui identifie de manière unique un utilisateur sur le serveur LDAP. Il est impossible de spécifier les filtres UserQuery lors de l’utilisation de DN pour userUIDAttribute. Dans le cas d’un filtrage à grains fins, utilisez la méthode de la liste blanche/liste noire.
Conditions préalables
- Créer le fichier de configuration.
- En tant qu’utilisateur, vous avez accès au cluster avec le rôle d’administrateur dédié.
Procédure
Exécutez la synchronisation avec le fichier rfc2307_config_user_defined.yaml:
oc adm groups sync --sync-config=rfc2307_config_user_defined.yaml --confirm
$ oc adm groups sync --sync-config=rfc2307_config_user_defined.yaml --confirm
Copy to Clipboard Copied! Toggle word wrap Toggle overflow À la suite de l’opération de synchronisation ci-dessus, OpenShift Dedicated crée l’enregistrement de groupe suivant:
Groupe dédié créé à l’aide du fichier rfc2307_config_user_defined.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Le nom du groupe tel que spécifié par le mappage de nom défini par l’utilisateur.
15.4.3. La synchronisation des groupes à l’aide de la RFC 2307 avec des tolérances d’erreur définies par l’utilisateur Copier lienLien copié sur presse-papiers!
Par défaut, si les groupes synchronisés contiennent des membres dont les entrées sont en dehors de la portée définie dans la requête membre, la synchronisation du groupe échoue avec une erreur:
Error determining LDAP group membership for "<group>": membership lookup for user "<user>" in group "<group>" failed because of "search for entry with dn="<user-dn>" would search outside of the base dn specified (dn="<base-dn>")".
Error determining LDAP group membership for "<group>": membership lookup for user "<user>" in group "<group>" failed because of "search for entry with dn="<user-dn>" would search outside of the base dn specified (dn="<base-dn>")".
Cela indique souvent une baseDN mal configurée dans le champ UserQuery. Cependant, dans les cas où la baseDN ne contient pas intentionnellement certains des membres du groupe, le réglage tolèreMemberOutOfScopeErrors: true permet au groupe de se synchroniser. Les membres hors de portée seront ignorés.
De même, lorsque le processus de synchronisation de groupe ne parvient pas à localiser un membre pour un groupe, il échoue carrément avec des erreurs:
Error determining LDAP group membership for "<group>": membership lookup for user "<user>" in group "<group>" failed because of "search for entry with base dn="<user-dn>" refers to a non-existent entry". Error determining LDAP group membership for "<group>": membership lookup for user "<user>" in group "<group>" failed because of "search for entry with base dn="<user-dn>" and filter "<filter>" did not return any results".
Error determining LDAP group membership for "<group>": membership lookup for user "<user>" in group "<group>" failed because of "search for entry with base dn="<user-dn>" refers to a non-existent entry".
Error determining LDAP group membership for "<group>": membership lookup for user "<user>" in group "<group>" failed because of "search for entry with base dn="<user-dn>" and filter "<filter>" did not return any results".
Cela indique souvent un champ utilisateur mal configuré. Cependant, dans les cas où le groupe contient des entrées de membres qui sont connues pour être manquantes, la configuration tolèreMemberNotFoundErrors: true permet au groupe de se synchroniser. Les membres problématiques seront ignorés.
L’activation des tolérances d’erreur pour la synchronisation du groupe LDAP fait que le processus de synchronisation ignore les entrées de membres problématiques. Dans le cas où la synchronisation du groupe LDAP n’est pas configurée correctement, cela pourrait entraîner la synchronisation de groupes OpenShift Dédiés manquants.
Entrées LDAP qui utilisent le schéma RFC 2307 avec l’adhésion à un groupe problématique: rfc2307_problematic_users.ldif
Afin de tolérer les erreurs dans l’exemple ci-dessus, les ajouts suivants à votre fichier de configuration de synchronisation doivent être effectués:
Configuration de synchronisation LDAP qui utilise les erreurs de tolérance du schéma RFC 2307: rfc2307_config_tolerating.yaml
- 1
- L’attribut qui identifie de manière unique un utilisateur sur le serveur LDAP. Il est impossible de spécifier les filtres UserQuery lors de l’utilisation de DN pour userUIDAttribute. Dans le cas d’un filtrage à grains fins, utilisez la méthode de la liste blanche/liste noire.
- 2
- Lorsque c’est vrai, le travail de synchronisation tolère les groupes pour lesquels certains membres n’ont pas été trouvés, et les membres dont les entrées LDAP ne sont pas trouvées sont ignorés. Le comportement par défaut de la tâche de synchronisation est d’échouer si un membre d’un groupe n’est pas trouvé.
- 3
- Lorsque c’est vrai, la tâche de synchronisation tolère les groupes pour lesquels certains membres sont en dehors de la portée de l’utilisateur donnée dans la base DN UserQuery, et les membres en dehors de la portée de requête des membres sont ignorés. Le comportement par défaut de la tâche de synchronisation est d’échouer si un membre d’un groupe est hors de portée.
Conditions préalables
- Créer le fichier de configuration.
- En tant qu’utilisateur, vous avez accès au cluster avec le rôle d’administrateur dédié.
Procédure
Exécutez la synchronisation avec le fichier rfc2307_config_tolerating.yaml:
oc adm groups sync --sync-config=rfc2307_config_tolerating.yaml --confirm
$ oc adm groups sync --sync-config=rfc2307_config_tolerating.yaml --confirm
Copy to Clipboard Copied! Toggle word wrap Toggle overflow À la suite de l’opération de synchronisation ci-dessus, OpenShift Dedicated crée l’enregistrement de groupe suivant:
Groupe dédié créé à l’aide du fichier rfc2307_config.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Les utilisateurs qui sont membres du groupe, comme spécifié par le fichier de synchronisation. Les membres pour lesquels la recherche a rencontré des erreurs tolérées sont absents.
15.4.4. La synchronisation des groupes à l’aide du schéma Active Directory Copier lienLien copié sur presse-papiers!
Dans le schéma Active Directory, les deux utilisateurs (Jane et Jim) existent dans le serveur LDAP en tant qu’entrées de première classe, et l’adhésion au groupe est stockée dans des attributs de l’utilisateur. L’extrait suivant de ldif définit les utilisateurs et le groupe pour ce schéma:
Entrées LDAP utilisant le schéma Active Directory: active_directory.ldif
- 1
- Les adhésions de groupe d’utilisateur sont répertoriées comme attributs sur l’utilisateur, et le groupe n’existe pas en tant qu’entrée sur le serveur. L’attribut MemberOf n’a pas besoin d’être un attribut littéral sur l’utilisateur; dans certains serveurs LDAP, il est créé lors de la recherche et retourné au client, mais pas engagé dans la base de données.
Conditions préalables
- Créer le fichier de configuration.
- En tant qu’utilisateur, vous avez accès au cluster avec le rôle d’administrateur dédié.
Procédure
Exécutez la synchronisation avec le fichier active_directory_config.yaml:
oc adm groups sync --sync-config=active_directory_config.yaml --confirm
$ oc adm groups sync --sync-config=active_directory_config.yaml --confirm
Copy to Clipboard Copied! Toggle word wrap Toggle overflow À la suite de l’opération de synchronisation ci-dessus, OpenShift Dedicated crée l’enregistrement de groupe suivant:
Groupe dédié créé à l’aide du fichier active_directory_config.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- La dernière fois que ce groupe dédié OpenShift a été synchronisé avec le serveur LDAP, au format ISO 6801.
- 2
- L’identifiant unique pour le groupe sur le serveur LDAP.
- 3
- L’adresse IP et l’hôte du serveur LDAP où l’enregistrement de ce groupe est stocké.
- 4
- Le nom du groupe tel qu’indiqué dans le serveur LDAP.
- 5
- Les utilisateurs qui sont membres du groupe, nommés comme spécifié par le fichier de synchronisation.
15.4.5. La synchronisation des groupes à l’aide du schéma Active Directory augmenté Copier lienLien copié sur presse-papiers!
Dans le schéma Active Directory augmenté, les utilisateurs (Jane et Jim) et les groupes existent dans le serveur LDAP en tant qu’entrées de première classe, et l’adhésion au groupe est stockée dans des attributs sur l’utilisateur. L’extrait suivant de ldif définit les utilisateurs et le groupe pour ce schéma:
Entrées LDAP qui utilisent le schéma Active Directory augmenté: augmentéed_active_directory.ldif
Conditions préalables
- Créer le fichier de configuration.
- En tant qu’utilisateur, vous avez accès au cluster avec le rôle d’administrateur dédié.
Procédure
Exécutez la synchronisation avec le fichier Augd_active_directory_config.yaml:
oc adm groups sync --sync-config=augmented_active_directory_config.yaml --confirm
$ oc adm groups sync --sync-config=augmented_active_directory_config.yaml --confirm
Copy to Clipboard Copied! Toggle word wrap Toggle overflow À la suite de l’opération de synchronisation ci-dessus, OpenShift Dedicated crée l’enregistrement de groupe suivant:
Groupe dédié créé à l’aide du fichier Augmentd_active_directory_config.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- La dernière fois que ce groupe dédié OpenShift a été synchronisé avec le serveur LDAP, au format ISO 6801.
- 2
- L’identifiant unique pour le groupe sur le serveur LDAP.
- 3
- L’adresse IP et l’hôte du serveur LDAP où l’enregistrement de ce groupe est stocké.
- 4
- Le nom du groupe tel que spécifié par le fichier de synchronisation.
- 5
- Les utilisateurs qui sont membres du groupe, nommés comme spécifié par le fichier de synchronisation.
15.4.5.1. Exemple de synchronisation de l’adhésion imbriquée LDAP Copier lienLien copié sur presse-papiers!
Les groupes dans OpenShift Dedicated ne nichent pas. Le serveur LDAP doit aplatir l’adhésion au groupe avant que les données puissent être consommées. Le serveur Active Directory de Microsoft prend en charge cette fonctionnalité via la règle LDAP_MATCHING_RULE_IN_CHAIN, qui a l’OID 1.2.840.113556.1.4.1941. En outre, seuls les groupes explicitement inscrits sur la liste blanche peuvent être synchronisés lors de l’utilisation de cette règle de correspondance.
Cette section a un exemple pour le schéma Active Directory augmenté, qui synchronise un groupe nommé admins qui a un utilisateur Jane et un groupe d’autres administrateurs en tant que membres. L’autre groupe admins a un membre utilisateur: Jim. Cet exemple explique:
- Comment le groupe et les utilisateurs sont ajoutés au serveur LDAP.
- À quoi ressemble le fichier de configuration de synchronisation LDAP.
- Ce que l’enregistrement du groupe résultant dans OpenShift Dedicated sera après synchronisation.
Dans le schéma Active Directory augmenté, les utilisateurs (Jane et Jim) et les groupes existent dans le serveur LDAP en tant qu’entrées de première classe, et l’adhésion au groupe est stockée dans des attributs sur l’utilisateur ou le groupe. L’extrait suivant de ldif définit les utilisateurs et les groupes pour ce schéma:
Entrées LDAP qui utilisent le schéma Active Directory augmenté avec des membres imbriqués: augmentéed_active_directory_nested.ldif
Lorsque vous synchronisez des groupes imbriqués avec Active Directory, vous devez fournir une définition de requête LDAP pour les entrées d’utilisateur et les entrées de groupe, ainsi que les attributs avec lesquels les représenter dans les enregistrements internes de groupe OpenShift Dedicated. En outre, certaines modifications sont nécessaires dans cette configuration:
- La commande de synchronisation des groupes adm oc doit explicitement des groupes de liste blanche.
- Les attributs de groupe de l’utilisateur doivent inclure "memberOf:1.2.840.113556.1.4.1941:" pour se conformer à la règle LDAP_MATCHING_RULE_IN_CHAIN.
- Le groupeUIDAttribute doit être défini sur dn.
Les groupesQuery:
- Il ne faut pas définir le filtre.
- Doit définir une derefAliases valide.
- Il ne faut pas définir baseDN car cette valeur est ignorée.
- Il ne faut pas définir la portée car cette valeur est ignorée.
Le groupe que vous créez dans OpenShift Dedicated doit utiliser des attributs autres que le nom distingué lorsque cela est possible pour les champs orientés vers l’utilisateur ou l’administrateur. À titre d’exemple, identifiez les utilisateurs d’un groupe dédié OpenShift par leur e-mail et utilisez le nom du groupe comme nom commun. Le fichier de configuration suivant crée ces relations:
Configuration de synchronisation LDAP qui utilise le schéma Active Directory augmenté avec des membres imbriqués: Augmentd_active_directory_config_nested.yaml
- 1
- les filtres GroupQuery ne peuvent pas être spécifiés. Les valeurs DN et scope de base groupsQuery sont ignorées. groupsQuery doit définir une derefAliases valide.
- 2
- L’attribut qui identifie de manière unique un groupe sur le serveur LDAP. Il doit être réglé sur dn.
- 3
- L’attribut à utiliser comme nom du groupe.
- 4
- L’attribut à utiliser comme nom de l’utilisateur dans l’enregistrement du groupe OpenShift Dedicated. courrier ou sAMAccountName sont des choix préférés dans la plupart des installations.
- 5
- L’attribut sur l’utilisateur qui stocke les informations d’adhésion. A noter l’utilisation de LDAP_MATCHING_RULE_IN_CHAIN.
Conditions préalables
- Créer le fichier de configuration.
- En tant qu’utilisateur, vous avez accès au cluster avec le rôle d’administrateur dédié.
Procédure
Exécutez la synchronisation avec le fichier Augd_active_directory_config_nested.yaml:
oc adm groups sync \ 'cn=admins,ou=groups,dc=example,dc=com' \ --sync-config=augmented_active_directory_config_nested.yaml \ --confirm
$ oc adm groups sync \ 'cn=admins,ou=groups,dc=example,dc=com' \ --sync-config=augmented_active_directory_config_nested.yaml \ --confirm
Copy to Clipboard Copied! Toggle word wrap Toggle overflow NoteLe groupe cn=admins,ou=groups, dc=example, dc=com doit être explicitement inscrit sur la liste blanche.
À la suite de l’opération de synchronisation ci-dessus, OpenShift Dedicated crée l’enregistrement de groupe suivant:
Groupe dédié créé à l’aide du fichier Augd_active_directory_config_nested.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- La dernière fois que ce groupe dédié OpenShift a été synchronisé avec le serveur LDAP, au format ISO 6801.
- 2
- L’identifiant unique pour le groupe sur le serveur LDAP.
- 3
- L’adresse IP et l’hôte du serveur LDAP où l’enregistrement de ce groupe est stocké.
- 4
- Le nom du groupe tel que spécifié par le fichier de synchronisation.
- 5
- Les utilisateurs qui sont membres du groupe, nommés comme spécifié par le fichier de synchronisation. Il est à noter que les membres des groupes imbriqués sont inclus puisque l’adhésion au groupe a été aplatie par Microsoft Active Directory Server.