2.12. Red Hat Single Sign-On을 사용하여 사용자를 Ceph 대시보드에 동기화
LDAP(Lightweight Directory Access Protocol) 통합과 함께 SSO(Red Hat Single Sign-On)를 사용하여 사용자를 Red Hat Ceph Storage 대시보드와 동기화할 수 있습니다.
사용자는 암호의 추가 요구 사항 없이 SSO를 통해 대시보드에 액세스할 수 있는 특정 영역에 추가됩니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 클러스터.
- 대시보드가 설치되어 있어야 합니다.
- 대시보드에 대한 관리자 수준 액세스.
- 사용자가 대시보드에 추가됩니다. Red Hat Ceph Storage 대시보드 가이드의 Ceph 대시보드에서 사용자 생성 섹션을 참조하십시오.
- 모든 호스트에 대한 루트 수준 액세스.
- 사용자 동기화를 위해 생성된 관리자 계정입니다. Red Hat Ceph Storage 대시보드 가이드의 사용자를 Ceph 대시보드에 동기화하기 위한 관리자 계정 생성 섹션을 참조하십시오.
프로세스
- 영역을 생성하려면 마스터 드롭다운 메뉴를 클릭합니다. 이 영역에서는 사용자와 애플리케이션에 대한 액세스를 제공할 수 있습니다.
Add Cryostat 창에서 대/소문자 구분 영역 이름을 입력하고 매개 변수를 ON으로 설정하고 만들기를 클릭합니다.In the Add Cryostat window, enter a case-sensitive realm name and set the parameter Enabled to ON and click Create:.
Cryo stat 설정 탭에서 다음 매개변수를 설정하고 저장을 클릭합니다 :
- 활성화됨 - ON
- 사용자 관리 액세스 - ON
클라이언트 설정에 붙여넣을 SAML 2.0 ID 공급자 메타데이터의 링크 주소를 기록합니다.
클라이언트 탭에서 생성 을 클릭합니다.
클라이언트 추가 창에서 다음 매개변수를 설정하고 저장을 클릭합니다.
클라이언트 ID - BASE_URL:8443/auth/saml2/metadata
예제
https://example.ceph.redhat.com:8443/auth/saml2/metadata
- 클라이언트 프로토콜 - saml
클라이언트 창의 설정 탭에서 다음 매개변수를 설정합니다.
표 2.2. 클라이언트 설정 탭 매개변수의 이름 구문 예제 클라이언트 ID
BASE_URL:8443/auth/saml2/metadata
https://example.ceph.redhat.com:8443/auth/saml2/metadata
enabled
ON
ON
클라이언트 프로토콜
saml
saml
AuthnStatement 포함
ON
ON
문서 서명
ON
ON
서명 알고리즘
RSA_SHA1
RSA_SHA1
SAML 서명 키 이름
KEY_ID
KEY_ID
유효한 리디렉션 URL
BASE_URL:8443/*
https://example.ceph.redhat.com:8443/*
기본 URL
BASE_URL:8443
https://example.ceph.redhat.com:8443/
마스터 SAML 처리 URL
https://localhost:8080/auth/realms/REALM_NAME/protocol/saml/descriptor
https://localhost:8080/auth/realms/Ceph_LDAP/protocol/saml/descriptor
참고Cryostat 설정 탭에서 SAML 2.0 ID 공급자 메타데이터 링크를 붙여넣습니다.
Fine Grain SAML Endpoint Configuration에서 다음 매개변수를 설정하고 저장을 클릭합니다.
표 2.3. 고급 Grain SAML 구성 매개변수의 이름 구문 예제 어설션 소비자 서비스 POST 바인딩 URL
BASE_URL:8443/#/dashboard
https://example.ceph.redhat.com:8443/#/dashboard
어설션 소비자 서비스 리디렉션 바인딩 URL
BASE_URL:8443/#/dashboard
https://example.ceph.redhat.com:8443/#/dashboard
로그 아웃 서비스 리디렉션 바인딩 URL
BASE_URL:8443/
https://example.ceph.redhat.com:8443/
클라이언트 창에서 Mappers 탭에서 다음 매개변수를 설정하고 저장을 클릭합니다.
표 2.4. 클라이언트 매퍼 탭 매개변수의 이름 현재의 프로토콜
saml
이름
사용자 이름
매퍼 속성
사용자 속성
속성
사용자 이름
SAML 속성 이름
사용자 이름
클라이언트 범위 탭에서 role_list:을 선택합니다.
- Mappers 탭에서 역할 목록을 선택하고 단일 역할 속성을 ON으로 설정합니다.
User_Federation 탭을 선택합니다.
- 사용자 페더레이션 창의 드롭다운 메뉴에서 ldap 를 선택합니다.
User_Federation 창에서 설정 탭에서 다음 매개변수를 설정하고 저장을 클릭합니다.
표 2.5. 사용자 페더레이션 설정 탭 매개변수의 이름 현재의 콘솔 표시 이름
rh-ldap
사용자 가져오기
ON
Edit_Mode
READ_ONLY
사용자 이름 LDAP 속성
사용자 이름
RDN LDAP 특성
사용자 이름
UUID LDAP 속성
nsuniqueid
사용자 오브젝트 클래스
inetOrgPerson, organizationalPerson, rhatPerson
연결 URL
예: ldap://ldap.corp.redhat.com에서 테스트 연결을 클릭합니다. LDAP 연결에 성공했다는 알림이 표시됩니다.
사용자 DN
ou=users, dc=example, dc=com
바인딩 유형
단순
인증 테스트를 클릭합니다. LDAP 인증이 성공했다는 알림이 표시됩니다.
Mappers 탭에서 첫 번째 이름 행을 선택하고 다음 매개변수를 편집하고 저장을 클릭합니다.
- LDAP 속성 - givenName
User_Federation 탭에서 설정 탭에서 모든 사용자 동기화 를 클릭합니다.
사용자 동기화가 성공적으로 완료되었다는 알림이 표시됩니다.
사용자 탭에서 대시보드에 추가된 사용자를 검색하고 검색 아이콘을 클릭합니다.
사용자를 보려면 특정 행을 클릭합니다. 페더레이션 링크가 사용자 페더레이션 에 제공된 이름으로 표시되어야 합니다.
중요사용자가 LDAP에서 동기화되지 않으므로 사용자를 수동으로 추가하지 마십시오. 수동으로 추가하는 경우 삭제를 클릭하여 사용자를 삭제합니다.
참고Red Hat SSO가 현재 작업 환경에서 사용 중인 경우 먼저 SSO를 활성화해야 합니다. 자세한 내용은 Red Hat Ceph Storage 대시보드 가이드 의 Ceph 대시보드의 Single Sign-On 활성화 섹션을 참조하십시오.
검증
영역에 추가된 사용자는 대시보드가 메일 주소와 암호를 사용하여 Ceph 대시보드에 액세스할 수 있습니다.
예제
https://example.ceph.redhat.com:8443
추가 리소스
- 대시보드에 있는 사용자의 역할을 추가하려면 Red Hat Ceph Storage 대시보드 가이드의 Ceph 대시보드에서역할 생성 섹션을 참조하십시오.