第10章 Red Hat Quay の LDAP 認証設定
LDAP (Lightweight Directory Access Protocol) は、IP ネットワークで分散ディレクトリー情報サービスにアクセスし、これを維持するために使用するオープンな、ベンダーに依存しない業界標準のアプリケーションプロトコルです。Red Hat Quay は ID プロバイダーとして LDAP の使用をサポートしています。
10.1. LDAP を有効にする際の考慮事項
Red Hat Quay デプロイメントで LDAP を有効にする前に、以下の点を考慮する必要があります。
既存の Red Hat Quay デプロイメント
ユーザーがすでに設定されている既存の Red Hat Quay デプロイメントで LDAP を有効にすると、ユーザー名との競合が発生する可能性があります。たとえば、1 人のユーザー alice は、LDAP を有効にする前に Red Hat Quay で手動で作成されました。ユーザー名 alice が LDAP ディレクトリーにも存在する場合、alice が LDAP を使用して初めてログインするときに、Red Hat Quay は新しいユーザー alice-1 を自動的に作成します。次に、Red Hat Quay は LDAP 認証情報を alice アカウントに自動的にマッピングします。一貫性の理由から、これは Red Hat Quay デプロイメントにとっては誤りである可能性があります。LDAP を有効にする前に、競合する可能性のあるローカルアカウント名を Red Hat Quay から削除することを推奨します。
手動ユーザーの作成と LDAP 認証
Red Hat Quay が LDAP 用に設定されていて、設定オプション FEATURE_USER_CREATION が true に設定されている場合は、LDAP 認証ユーザーが最初のログイン時に Red Hat Quay のデータベースに自動的に作成されます。このオプションを false に設定すると、LDAP ユーザーの自動ユーザー作成に失敗し、ユーザーはログインできません。このシナリオでは、スーパーユーザーが最初に必要なユーザーアカウントを作成する必要があります。一方、FEATURE_USER_CREATION が true に設定されている場合は、LDAP に同等のユーザーがある場合でも、ユーザーは Quay ログイン画面からもアカウントを作成できます。
