18.6. LDAP 同期設定の仕様

kind

このオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これを更新することはできません。CamelCase を使用します。詳細は、https://github.com/kubernetes/community/blob/master/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。

string

apiVersion

オブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://github.com/kubernetes/community/blob/master/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。

string

url

ホストは接続先の LDAP サーバーのスキーム、ホストおよびポートになります。 scheme://host:port

string

bindDN

LDAP サーバーをバインドする任意の DN です。

string

bindPassword

検索フェーズでバインドする任意のパスワードです。

v1.StringSource

insecure

true の場合は、接続に TLS を使用できないことを示唆します。false の場合、ldaps:// URL は TLS を使用して接続し、ldap:// URL は、https://tools.ietf.org/html/rfc2830 で指定されるように StartTLS を使用して TLS 接続にアップグレードされます。insecure を true に設定すると、ldaps:// URL スキームを使用することはできません。

boolean

ca

サーバーへ要求を行う際に使用する任意の信頼された認証局バンドルです。空の場合は、デフォルトのシステムルートが使用されます。

string

groupUIDNameMapping

LDAP グループ UID の OpenShift Container Platform グループ名への任意の直接マッピングです。

オブジェクト

rfc2307

RFC2307 と同じ方法でセットアップされた LDAP サーバーからデータを抽出するための設定を保持します。ファーストクラスグループとユーザーエントリーを抽出し、グループメンバーシップはメンバーをリスト表示するグループエントリーの複数値の属性によって決定されます。

v1.RFC2307Config

activeDirectory

Active Directory に使用されるのと同じ方法でセットアップされた LDAP サーバーからデータを抽出するための設定を保持します。ファーストクラスユーザーエントリーを抽出し、グループメンバーシップはメンバーが属するグループをリスト表示するメンバーの複数値の属性によって決定されます。

v1.ActiveDirectoryConfig

augmentedActiveDirectory

上記の Active Directory で使用されるのと同じ方法でセットアップされた LDAP サーバーからデータを抽出するための設定を保持します。1 つの追加として、ファーストクラスグループエントリーが存在し、それらはメタデータを保持するために使用されますが、グループメンバーシップは設定されません。

v1.AugmentedActiveDirectoryConfig

value

クリアテキスト値、または keyFile が指定されている場合は暗号化された値を指定します。

string

env

クリアテキスト値、または keyFile が指定されている場合は暗号化された値を含む環境変数を指定します。

string

file

クリアテキスト値、または keyFile が指定されている場合は暗号化された値を含むファイルを参照します。

string

keyFile

値を復号化するために使用するキーを含むファイルを参照します。

string

baseDN

すべての検索が開始されるディレクトリーのブランチの DN です。

string

scope

検索の任意の範囲です。base (ベースオブジェクトのみ)、one (ベースレベルのすべてのオブジェクト)、sub (サブツリー全体) のいずれかになります。設定されていない場合は、デフォルトで sub になります。

string

derefAliases

エイリアスに関する検索の任意の動作です。never (エイリアスを逆参照しない)、search (検索中の逆参照のみ)、base (ベースオブジェクト検索時の逆参照のみ)、always (常に逆参照を行う) のいずれかになります。設定されていない場合、デフォルトで always になります。

string

timeout

応答の待機を中止するまでにサーバーへの要求を未処理のままにする時間制限 (秒単位) を保持します。これを 0 にすると、クライアント側の制限が設定されません。

integer

filter

ベース DN を持つ LDAP サーバーから関連するすべてのエントリーを取得する有効な LDAP 検索フィルターです。

string

pageSize

LDAP エントリーで測定される、推奨される最大ページサイズです。ページサイズを 0 にすると、ページングは実行されません。

integer

groupsQuery

グループエントリーを返す LDAP クエリーのテンプレートを保持します。

v1.LDAPQuery

groupUIDAttribute

LDAP グループエントリーのどの属性を固有の識別子として解釈するかを定義します (ldapGroupUID)。

string

groupNameAttributes

LDAP グループエントリーのどの属性が OpenShift Container Platform グループに使用する名前として解釈されるかを定義します。

string array

groupMembershipAttributes

LDAP グループエントリーのどの属性をメンバーとして解釈するかを定義します。それらの属性に含まれる値は UserUIDAttribute でクエリーできるようにする必要があります。

string array

usersQuery

ユーザーエントリーを返す LDAP クエリーのテンプレートを保持します。

v1.LDAPQuery

userUIDAttribute

LDAP ユーザーエントリーのどの属性を固有の識別子として解釈するかを定義します。GroupMembershipAttributes で検出される値に対応している必要があります。

string

userNameAttributes

LDAP ユーザーエントリーのどの属性が順番に OpenShift Container Platform ユーザー名として使われるかを定義します。空でない値を持つ最初の属性が使用されます。これは LDAPPasswordIdentityProvider の PreferredUsername 設定と一致している必要があります。OpenShift Container Platform グループレコードでユーザー名として使用される属性です。ほとんどのインストールでは、mail または sAMAccountName を使用することが推奨されます。

string array

tolerateMemberNotFoundErrors

ユーザーエントリーがない場合の LDAP 同期ジョブの動作を決定します。true の場合、何も検出しない ユーザーの LDAP クエリーは許容され、エラーのみがログに記録されます。false の場合、ユーザーのクエリーが何も検出しないと、LDAP 同期ジョブは失敗します。デフォルト値は false です。このフラグを true に設定した LDAP 同期ジョブの設定が間違っていると、グループメンバーシップが削除されることがあるため、注意してこのフラグを使用してください。

boolean

tolerateMemberOutOfScopeErrors

範囲外のユーザーエントリーが検出される場合の LDAP 同期ジョブの動作を決定します。true の場合、すべてのユーザークエリーに指定されるベース DN 外のユーザーの LDAP クエリーは許容され、エラーのみがログに記録されます。false の場合、ユーザークエリーですべてのユーザークエリーで指定されるベース DN 外を検索すると LDAP 同期ジョブは失敗します。このフラグを true に設定した LDAP 同期ジョブの設定が間違っていると、ユーザーのいないグループが発生することがあるため、注意してこのフラグを使用してください。

boolean

usersQuery

ユーザーエントリーを返す LDAP クエリーのテンプレートを保持します。

v1.LDAPQuery

userNameAttributes

LDAP ユーザーエントリーのどの属性が OpenShift Container Platform ユーザー名として解釈されるかを定義します。OpenShift Container Platform グループレコードでユーザー名として使用される属性です。ほとんどのインストールでは、mail または sAMAccountName を使用することが推奨されます。

string array

groupMembershipAttributes

LDAP ユーザーのどの属性をメンバーの属するグループとして解釈するかを定義します。

string array

usersQuery

ユーザーエントリーを返す LDAP クエリーのテンプレートを保持します。

v1.LDAPQuery

userNameAttributes

LDAP ユーザーエントリーのどの属性が OpenShift Container Platform ユーザー名として解釈されるかを定義します。OpenShift Container Platform グループレコードでユーザー名として使用される属性です。ほとんどのインストールでは、mail または sAMAccountName を使用することが推奨されます。

string array

groupMembershipAttributes

LDAP ユーザーのどの属性をメンバーの属するグループとして解釈するかを定義します。

string array

groupsQuery

グループエントリーを返す LDAP クエリーのテンプレートを保持します。

v1.LDAPQuery

groupUIDAttribute

LDAP グループエントリーのどの属性を固有の識別子として解釈するかを定義します (ldapGroupUID)。

string

groupNameAttributes

LDAP グループエントリーのどの属性が OpenShift Container Platform グループに使用する名前として解釈されるかを定義します。

string array