Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 14. La synchronisation des groupes LDAP

En tant qu’administrateur avec le rôle d’administrateur dédié, vous pouvez utiliser des groupes pour gérer les utilisateurs, modifier leurs autorisations et améliorer la collaboration. Il se peut que votre organisation ait déjà créé des groupes d’utilisateurs et les stocké dans un serveur LDAP. Le service OpenShift Red Hat sur AWS peut synchroniser ces enregistrements LDAP avec le service interne Red Hat OpenShift sur les enregistrements AWS, vous permettant de gérer vos groupes en un seul endroit. Le service OpenShift Red Hat sur AWS prend actuellement en charge la synchronisation du groupe avec les serveurs LDAP en utilisant trois schémas communs pour définir l’appartenance au groupe : RFC 2307, Active Directory et Active Directory augmentée.

Consultez Configuration d’un fournisseur d’identité LDAP pour plus d’informations sur la configuration de LDAP.

Note

Il faut avoir des privilèges dédiés-admin pour synchroniser des groupes.

14.1. À propos de la configuration de la synchronisation LDAP
Copier lien

Avant de pouvoir exécuter la synchronisation LDAP, vous avez besoin d’un fichier de configuration de synchronisation. Ce fichier contient les détails de configuration du client LDAP suivants:

  • Configuration pour se connecter à votre serveur LDAP.
  • Les options de configuration de synchronisation qui dépendent du schéma utilisé dans votre serveur LDAP.
  • Liste définie par l’administrateur de cartographie de noms qui mappe Red Hat OpenShift Service sur les noms de groupe AWS à des groupes dans votre serveur LDAP.

Le format du fichier de configuration dépend du schéma que vous utilisez : RFC 2307, Active Directory ou Active Directory augmentée.

Configuration client LDAP
La section de configuration client LDAP de la configuration définit les connexions à votre serveur LDAP.

La section de configuration client LDAP de la configuration définit les connexions à votre serveur LDAP.

Configuration client LDAP

url: ldap://10.0.0.0:389
1 

bindDN: cn=admin,dc=example,dc=com
2 

bindPassword: <password>
3 

insecure: false
4 

ca: my-ldap-ca-bundle.crt
5
Copy to Clipboard Toggle word wrap

1
Le protocole de connexion, l’adresse IP du serveur LDAP hébergeant votre base de données, et le port à connecter, formaté comme schéma://host:port.
2
En option nom distingué (DN) à utiliser comme le Bind DN. Le service OpenShift Red Hat sur AWS utilise cela si un privilège élevé est nécessaire pour récupérer des entrées pour l’opération de synchronisation.
3
Le mot de passe optionnel à utiliser pour lier. Le service OpenShift Red Hat sur AWS utilise cela si un privilège élevé est nécessaire pour récupérer des entrées pour l’opération de synchronisation. Cette valeur peut également être fournie dans une variable d’environnement, un fichier externe ou un fichier chiffré.
4
Lorsque les URL LDAP (ldaps://) sécurisées se connectent à l’aide de TLS, et les URL LDAP (ldap://) non sécurisées sont mises à niveau vers TLS. Lorsqu’il est vrai, aucune connexion TLS n’est faite au serveur et vous ne pouvez pas utiliser les schémas d’URL ldaps://.
5
Le paquet de certificats à utiliser pour valider les certificats de serveur pour l’URL configurée. En cas de vide, Red Hat OpenShift Service sur AWS utilise des racines fiables du système. Cela ne s’applique que si l’insécurité est définie sur false.
Définition de requête LDAP
Les configurations de synchronisation consistent en définitions de requête LDAP pour les entrées qui sont nécessaires à la synchronisation. La définition spécifique d’une requête LDAP dépend du schéma utilisé pour stocker les informations d’adhésion dans le serveur LDAP.

Définition de requête LDAP

baseDN: ou=users,dc=example,dc=com
1 

scope: sub
2 

derefAliases: never
3 

timeout: 0
4 

filter: (objectClass=person)
5 

pageSize: 0
6
Copy to Clipboard Toggle word wrap

1
Le nom distingué (DN) de la branche du répertoire où toutes les recherches commenceront. Il est nécessaire que vous spécifiiez le haut de l’arborescence de votre répertoire, mais vous pouvez également spécifier un sous-arbre dans le répertoire.
2
La portée de la recherche. Les valeurs valides sont base, un ou sous. Lorsque cela n’est pas défini, une portée de sub est assumée. Les descriptions des options de portée se trouvent dans le tableau ci-dessous.
3
Le comportement de la recherche par rapport aux alias dans l’arbre LDAP. Les valeurs valides ne sont jamais, recherche, base, ou toujours. Dans le cas où cela n’est pas défini, la valeur par défaut est toujours de déroférer les alias. Les descriptions des comportements de déréférencement se trouvent dans le tableau ci-dessous.
4
Le délai autorisé pour la recherche par le client, en secondes. La valeur 0 n’impose aucune limite côté client.
5
Filtre de recherche LDAP valide. Dans le cas où cela n’est pas défini, la valeur par défaut est (objectClass=*).
6
La taille maximale facultative des pages de réponse du serveur, mesurée dans les entrées LDAP. En cas de définition de 0, aucune restriction de taille ne sera imposée sur les pages de réponses. La configuration des tailles de mise en page est nécessaire lorsque les requêtes renvoient plus d’entrées que le client ou le serveur le permettent par défaut.
Expand
Tableau 14.1. Les options de champ d’application de la recherche LDAP
Champ de recherche LDAPDescription

base

Considérez uniquement l’objet spécifié par la base DN donnée pour la requête.

C) Un

Considérez tous les objets au même niveau dans l’arbre que le DN de base pour la requête.

a) Sous

Considérez l’ensemble du sous-arbre enraciné à la base DN donnée pour la requête.

Expand
Tableau 14.2. Comportements de déréférencement du LDAP
Comportement de déréférencementDescription

jamais jamais

Jamais ne dérober les alias trouvés dans l’arbre LDAP.

chercher

Déréférence seulement les alias trouvés lors de la recherche.

base

Déréférence seulement les alias lors de la recherche de l’objet de base.

♪ toujours ♪

Déroulez toujours tous les alias trouvés dans l’arbre LDAP.

Cartographie des noms définis par l’utilisateur
Le mappage de nom défini par l’utilisateur mappe explicitement les noms de Red Hat OpenShift Service sur les groupes AWS à des identifiants uniques qui trouvent des groupes sur votre serveur LDAP. La cartographie utilise la syntaxe YAML normale. Le mappage défini par l’utilisateur peut contenir une entrée pour chaque groupe de votre serveur LDAP ou seulement un sous-ensemble de ces groupes. Lorsqu’il y a des groupes sur le serveur LDAP qui n’ont pas de mappage de nom défini par l’utilisateur, le comportement par défaut lors de la synchronisation est d’utiliser l’attribut spécifié comme le service OpenShift Red Hat sur le nom du groupe AWS.

Cartographie des noms définis par l’utilisateur

groupUIDNameMapping:
  "cn=group1,ou=groups,dc=example,dc=com": firstgroup
  "cn=group2,ou=groups,dc=example,dc=com": secondgroup
  "cn=group3,ou=groups,dc=example,dc=com": thirdgroup
Copy to Clipboard Toggle word wrap

14.1.1. À propos du fichier de configuration RFC 2307
Copier lien

Le schéma RFC 2307 exige que vous fournissiez une définition de requête LDAP pour les entrées d’utilisateur et de groupe, ainsi que les attributs avec lesquels les représenter dans le service interne Red Hat OpenShift sur les enregistrements AWS.

En termes de clarté, le groupe que vous créez dans Red Hat OpenShift Service sur AWS doit utiliser des attributs autres que le nom distingué lorsque cela est possible pour les champs orientés vers l’utilisateur ou l’administrateur. À titre d’exemple, identifiez les utilisateurs d’un service Red Hat OpenShift sur AWS par leur e-mail et utilisez le nom du groupe comme nom commun. Le fichier de configuration suivant crée ces relations:

Note

En utilisant des mappages de noms définis par l’utilisateur, votre fichier de configuration sera différent.

Configuration de synchronisation LDAP utilisant le schéma RFC 2307: rfc2307_config.yaml

kind: LDAPSyncConfig
apiVersion: v1
url: ldap://LDAP_SERVICE_IP:389
1 

insecure: false
2 

bindDN: cn=admin,dc=example,dc=com
bindPassword:
  file: "/etc/secrets/bindPassword"
rfc2307:
    groupsQuery:
        baseDN: "ou=groups,dc=example,dc=com"
        scope: sub
        derefAliases: never
        pageSize: 0
    groupUIDAttribute: dn
3 

    groupNameAttributes: [ cn ]
4 

    groupMembershipAttributes: [ member ]
5 

    usersQuery:
        baseDN: "ou=users,dc=example,dc=com"
        scope: sub
        derefAliases: never
        pageSize: 0
    userUIDAttribute: dn
6 

    userNameAttributes: [ mail ]
7 

    tolerateMemberNotFoundErrors: false
    tolerateMemberOutOfScopeErrors: false
Copy to Clipboard Toggle word wrap

1
L’adresse IP et l’hôte du serveur LDAP où l’enregistrement de ce groupe est stocké.
2
Lorsque les URL LDAP (ldaps://) sécurisées se connectent à l’aide de TLS, et les URL LDAP (ldap://) non sécurisées sont mises à niveau vers TLS. Lorsqu’il est vrai, aucune connexion TLS n’est faite au serveur et vous ne pouvez pas utiliser les schémas d’URL ldaps://.
3
L’attribut qui identifie de manière unique un groupe sur le serveur LDAP. Lorsque vous utilisez DN pour groupUIDAttribute, vous ne pouvez pas spécifier les filtres groupUIDAttribute. Dans le cas d’un filtrage à grains fins, utilisez la méthode de la liste blanche/liste noire.
4
L’attribut à utiliser comme nom du groupe.
5
L’attribut sur le groupe qui stocke les informations d’adhésion.
6
L’attribut qui identifie de manière unique un utilisateur sur le serveur LDAP. Il est impossible de spécifier les filtres UserQuery lors de l’utilisation de DN pour userUIDAttribute. Dans le cas d’un filtrage à grains fins, utilisez la méthode de la liste blanche/liste noire.
7
L’attribut à utiliser comme nom de l’utilisateur dans le service Red Hat OpenShift sur l’enregistrement du groupe AWS.

14.1.2. À propos du fichier de configuration Active Directory
Copier lien

Le schéma Active Directory vous oblige à fournir une définition de requête LDAP pour les entrées d’utilisateur, ainsi que les attributs pour les représenter dans le service interne Red Hat OpenShift sur les enregistrements de groupe AWS.

En termes de clarté, le groupe que vous créez dans Red Hat OpenShift Service sur AWS doit utiliser des attributs autres que le nom distingué lorsque cela est possible pour les champs orientés vers l’utilisateur ou l’administrateur. À titre d’exemple, identifiez les utilisateurs d’un service Red Hat OpenShift sur le groupe AWS par leur e-mail, mais définissez le nom du groupe par le nom du groupe sur le serveur LDAP. Le fichier de configuration suivant crée ces relations:

Configuration de synchronisation LDAP qui utilise le schéma Active Directory: active_directory_config.yaml

kind: LDAPSyncConfig
apiVersion: v1
url: ldap://LDAP_SERVICE_IP:389
activeDirectory:
    usersQuery:
        baseDN: "ou=users,dc=example,dc=com"
        scope: sub
        derefAliases: never
        filter: (objectclass=person)
        pageSize: 0
    userNameAttributes: [ mail ]
1 

    groupMembershipAttributes: [ memberOf ]
2
Copy to Clipboard Toggle word wrap

1
L’attribut à utiliser comme nom de l’utilisateur dans le service Red Hat OpenShift sur l’enregistrement du groupe AWS.
2
L’attribut sur l’utilisateur qui stocke les informations d’adhésion.

Le schéma Active Directory augmenté vous oblige à fournir une définition de requête LDAP pour les entrées d’utilisateurs et les entrées de groupe, ainsi que les attributs avec lesquels les représenter dans le service interne Red Hat OpenShift sur les enregistrements de groupe AWS.

En termes de clarté, le groupe que vous créez dans Red Hat OpenShift Service sur AWS doit utiliser des attributs autres que le nom distingué lorsque cela est possible pour les champs orientés vers l’utilisateur ou l’administrateur. À titre d’exemple, identifiez les utilisateurs d’un service Red Hat OpenShift sur AWS par leur e-mail et utilisez le nom du groupe comme nom commun. Le fichier de configuration suivant crée ces relations.

Configuration de synchronisation LDAP qui utilise le schéma Active Directory augmenté: augmentéed_active_directory_config.yaml

kind: LDAPSyncConfig
apiVersion: v1
url: ldap://LDAP_SERVICE_IP:389
augmentedActiveDirectory:
    groupsQuery:
        baseDN: "ou=groups,dc=example,dc=com"
        scope: sub
        derefAliases: never
        pageSize: 0
    groupUIDAttribute: dn
1 

    groupNameAttributes: [ cn ]
2 

    usersQuery:
        baseDN: "ou=users,dc=example,dc=com"
        scope: sub
        derefAliases: never
        filter: (objectclass=person)
        pageSize: 0
    userNameAttributes: [ mail ]
3 

    groupMembershipAttributes: [ memberOf ]
4
Copy to Clipboard Toggle word wrap

1
L’attribut qui identifie de manière unique un groupe sur le serveur LDAP. Lorsque vous utilisez DN pour groupUIDAttribute, vous ne pouvez pas spécifier les filtres groupUIDAttribute. Dans le cas d’un filtrage à grains fins, utilisez la méthode de la liste blanche/liste noire.
2
L’attribut à utiliser comme nom du groupe.
3
L’attribut à utiliser comme nom de l’utilisateur dans le service Red Hat OpenShift sur l’enregistrement du groupe AWS.
4
L’attribut sur l’utilisateur qui stocke les informations d’adhésion.
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat