Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

18.4. LDAP グループを自動的に同期する

cron ジョブを設定することにより、LDAP グループを定期的に自動的に同期できます。

前提条件

  • cluster-admin ロールを持つユーザーとしてクラスターにアクセスできる。

  • LDAP ID プロバイダー (IDP) を設定しました。

    この手順は、ldap-secretという名前の LDAP シークレットと ca-config-map という名前の設定マップを作成したことを前提としています。

手順

  1. cron ジョブを実行するプロジェクトを作成します。 

    $ oc new-project ldap-sync
    1
    Copy to Clipboard Toggle word wrap
    1
    この手順では、ldap-syncというプロジェクトを使用します。

  2. LDAP ID プロバイダーの設定時に作成したシークレットマップと設定マップを見つけて、この新しいプロジェクトにコピーします。

    シークレットマップと設定マップはopenshift-configプロジェクトに存在し、新しいldap-syncプロジェクトにコピーする必要があります。

  3. サービスアカウントを定義します。

    例: ldap-sync-service-account.yaml

    kind: ServiceAccount
apiVersion: v1
metadata:
  name: ldap-group-syncer
  namespace: ldap-sync
    Copy to Clipboard Toggle word wrap

  4. サービスアカウントを作成します。 

    $ oc create -f ldap-sync-service-account.yaml
    Copy to Clipboard Toggle word wrap

  5. クラスターのロールを定義します。

    例: ldap-sync-cluster-role.yaml

    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: ldap-group-syncer
rules:
  - apiGroups:
      - user.openshift.io
    resources:
      - groups
    verbs:
      - get
      - list
      - create
      - update
    Copy to Clipboard Toggle word wrap

  6. クラスターロールを作成します。 

    $ oc create -f ldap-sync-cluster-role.yaml
    Copy to Clipboard Toggle word wrap

  7. クラスターロールバインディングを定義して、クラスターロールをサービスアカウントにバインドします。

    例: ldap-sync-cluster-role-binding.yaml

    kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: ldap-group-syncer
subjects:
  - kind: ServiceAccount
    name: ldap-group-syncer
    1 
    
    namespace: ldap-sync
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: ldap-group-syncer
    2
    Copy to Clipboard Toggle word wrap

    1
    この手順の前半で作成したサービスアカウントへの参照。
    2
    この手順の前半で作成したクラスターのロールへの参照。

  8. クラスターロールバインディングを作成します。 

    $ oc create -f ldap-sync-cluster-role-binding.yaml
    Copy to Clipboard Toggle word wrap

  9. 同期設定ファイルを指定する設定マップを定義します。

    例: ldap-sync-config-map.yaml

    kind: ConfigMap
apiVersion: v1
metadata:
  name: ldap-group-syncer
  namespace: ldap-sync
data:
  sync.yaml: |
    1 
    
    kind: LDAPSyncConfig
    apiVersion: v1
    url: ldaps://10.0.0.0:389
    2 
    
    insecure: false
    bindDN: cn=admin,dc=example,dc=com
    3 
    
    bindPassword:
      file: "/etc/secrets/bindPassword"
    ca: /etc/ldap-ca/ca.crt
    rfc2307:
    4 
    
      groupsQuery:
        baseDN: "ou=groups,dc=example,dc=com"
    5 
    
        scope: sub
        filter: "(objectClass=groupOfMembers)"
        derefAliases: never
        pageSize: 0
      groupUIDAttribute: dn
      groupNameAttributes: [ cn ]
      groupMembershipAttributes: [ member ]
      usersQuery:
        baseDN: "ou=users,dc=example,dc=com"
    6 
    
        scope: sub
        derefAliases: never
        pageSize: 0
      userUIDAttribute: dn
      userNameAttributes: [ uid ]
      tolerateMemberNotFoundErrors: false
      tolerateMemberOutOfScopeErrors: false
    Copy to Clipboard Toggle word wrap

    1
    同期設定ファイルを定義します。
    2
    URL を指定します。
    3
    bindDN を指定します。
    4
    この例では、RFC2307 スキーマを使用しています。必要に応じて値を調整します。別のスキーマを使用することもできます。
    5
    groupsQuerybaseDN を指定します。
    6
    usersQuerybaseDN を指定します。

  10. 設定マップを作成します。 

    $ oc create -f ldap-sync-config-map.yaml
    Copy to Clipboard Toggle word wrap

  11. cron ジョブを定義します。

    例: ldap-sync-cron-job.yaml

    kind: CronJob
apiVersion: batch/v1
metadata:
  name: ldap-group-syncer
  namespace: ldap-sync
spec:
    1 
    
  schedule: "*/30 * * * *"
    2 
    
  concurrencyPolicy: Forbid
  jobTemplate:
    spec:
      backoffLimit: 0
      ttlSecondsAfterFinished: 1800
    3 
    
      template:
        spec:
          containers:
            - name: ldap-group-sync
              image: "registry.redhat.io/openshift4/ose-cli:latest"
              command:
                - "/bin/bash"
                - "-c"
                - "oc adm groups sync --sync-config=/etc/config/sync.yaml --confirm"
    4 
    
              volumeMounts:
                - mountPath: "/etc/config"
                  name: "ldap-sync-volume"
                - mountPath: "/etc/secrets"
                  name: "ldap-bind-password"
                - mountPath: "/etc/ldap-ca"
                  name: "ldap-ca"
          volumes:
            - name: "ldap-sync-volume"
              configMap:
                name: "ldap-group-syncer"
            - name: "ldap-bind-password"
              secret:
                secretName: "ldap-secret"
    5 
    
            - name: "ldap-ca"
              configMap:
                name: "ca-config-map"
    6 
    
          restartPolicy: "Never"
          terminationGracePeriodSeconds: 30
          activeDeadlineSeconds: 500
          dnsPolicy: "ClusterFirst"
          serviceAccountName: "ldap-group-syncer"
    Copy to Clipboard Toggle word wrap

    1
    cron ジョブの設定を設定します。cron ジョブ設定の詳細は、「cron ジョブの作成」を参照してください。
    2
    cron 形式 で指定されるジョブのスケジュール。この例の cron ジョブは 30 分ごとに実行されます。同期の実行にかかる時間を考慮して、必要に応じて周波数を調整します。
    3
    完了したジョブを保持する時間 (秒単位)。これは、失敗した以前のジョブを消去して不要なアラートを発生させないように、ジョブスケジュールの期間と同じにする必要があります。詳細は、Kubernetes ドキュメントの TTL-after-finished Controller を参照してください。
    4
    cron ジョブを実行するための LDAP 同期コマンド。設定マップで定義された同期設定ファイルを渡します。
    5
    このシークレットは、LDAP IDP が設定されたときに作成されました。
    6
    この設定マップは、LDAP IDP が設定されたときに作成されました。

  12. cron ジョブを作成します。 

    $ oc create -f ldap-sync-cron-job.yaml
    Copy to Clipboard Toggle word wrap
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat