2.12. Red Hat Single Sign-On을 사용하여 사용자를 Ceph 대시보드에 동기화

LDAP(Lightweight Directory Access Protocol) 통합과 함께 SSO(Red Hat Single Sign-On)를 사용하여 사용자를 Red Hat Ceph Storage 대시보드와 동기화할 수 있습니다.

사용자는 암호의 추가 요구 사항 없이 SSO를 통해 대시보드에 액세스할 수 있는 특정 영역에 추가됩니다.

사전 요구 사항

실행 중인 Red Hat Ceph Storage 클러스터.
대시보드가 설치되어 있어야 합니다.
대시보드에 대한 관리자 수준 액세스.
사용자가 대시보드에 추가됩니다. Red Hat Ceph Storage 대시보드 가이드의 Ceph 대시보드에서 사용자 생성 섹션을 참조하십시오.
모든 호스트에 대한 루트 수준 액세스.
사용자 동기화를 위해 생성된 관리자 계정입니다. Red Hat Ceph Storage 대시보드 가이드의 사용자를 Ceph 대시보드에 동기화하기 위한 관리자 계정 생성 섹션을 참조하십시오.

프로세스

영역을 생성하려면 마스터 드롭다운 메뉴를 클릭합니다. 이 영역에서는 사용자와 애플리케이션에 대한 액세스를 제공할 수 있습니다.
Add Cryostat 창에서 대/소문자 구분 영역 이름을 입력하고 매개 변수를 ON으로 설정하고 만들기를 클릭합니다.In the Add Cryostat window, enter a case-sensitive realm name and set the parameter Enabled to ON and click Create:.
Cryo stat 설정 탭에서 다음 매개변수를 설정하고 저장을 클릭합니다 :
1. 활성화됨 - ON
2. 사용자 관리 액세스 - ON
3. 클라이언트 설정에 붙여넣을 SAML 2.0 ID 공급자 메타데이터의 링크 주소를 기록합니다.
클라이언트 탭에서 생성 을 클릭합니다.
클라이언트 추가 창에서 다음 매개변수를 설정하고 저장을 클릭합니다.
1. 클라이언트 ID - BASE_URL:8443/auth/saml2/metadata
  예제
  https://example.ceph.redhat.com:8443/auth/saml2/metadata
2. 클라이언트 프로토콜 - saml

클라이언트 창의 설정 탭에서 다음 매개변수를 설정합니다.

표 2.2. 클라이언트 설정 탭
매개변수의 이름	구문	예제
`클라이언트 ID`	BASE_URL:8443/auth/saml2/metadata	https://example.ceph.redhat.com:8443/auth/saml2/metadata
`enabled`	ON	ON
`클라이언트 프로토콜`	saml	saml
`AuthnStatement 포함`	ON	ON
`문서 서명`	ON	ON
`서명 알고리즘`	RSA_SHA1	RSA_SHA1
`SAML 서명 키 이름`	KEY_ID	KEY_ID
`유효한 리디렉션 URL`	BASE_URL:8443/*	https://example.ceph.redhat.com:8443/*
`기본 URL`	BASE_URL:8443	https://example.ceph.redhat.com:8443/
`마스터 SAML 처리 URL`	https://localhost:8080/auth/realms/REALM_NAME/protocol/saml/descriptor	https://localhost:8080/auth/realms/Ceph_LDAP/protocol/saml/descriptor

참고

Cryostat 설정 탭에서 SAML 2.0 ID 공급자 메타데이터 링크를 붙여넣습니다.

Fine Grain SAML Endpoint Configuration에서 다음 매개변수를 설정하고 저장을 클릭합니다.

표 2.3. 고급 Grain SAML 구성
매개변수의 이름	구문	예제
어설션 소비자 서비스 POST 바인딩 URL	BASE_URL:8443/#/dashboard	https://example.ceph.redhat.com:8443/#/dashboard
어설션 소비자 서비스 리디렉션 바인딩 URL	BASE_URL:8443/#/dashboard	https://example.ceph.redhat.com:8443/#/dashboard
로그 아웃 서비스 리디렉션 바인딩 URL	BASE_URL:8443/	https://example.ceph.redhat.com:8443/

클라이언트 창에서 Mappers 탭에서 다음 매개변수를 설정하고 저장을 클릭합니다.

클라이언트 범위 탭에서 role_list:을 선택합니다.
1. Mappers 탭에서 역할 목록을 선택하고 단일 역할 속성을 ON으로 설정합니다.

User_Federation 탭을 선택합니다.

User_Federation 창에서 설정 탭에서 다음 매개변수를 설정하고 저장을 클릭합니다.

표 2.5. 사용자 페더레이션 설정 탭
매개변수의 이름	현재의
`콘솔 표시 이름`	rh-ldap
`사용자 가져오기`	ON
`Edit_Mode`	READ_ONLY
`사용자 이름 LDAP 속성`	사용자 이름
`RDN LDAP 특성`	사용자 이름
`UUID LDAP 속성`	nsuniqueid
`사용자 오브젝트 클래스`	inetOrgPerson, organizationalPerson, rhatPerson
`연결 URL`	예: ldap://ldap.corp.redhat.com에서 테스트 연결을 클릭합니다. LDAP 연결에 성공했다는 알림이 표시됩니다.
`사용자 DN`	ou=users, dc=example, dc=com
`바인딩 유형`	단순

인증 테스트를 클릭합니다. LDAP 인증이 성공했다는 알림이 표시됩니다.

Mappers 탭에서 첫 번째 이름 행을 선택하고 다음 매개변수를 편집하고 저장을 클릭합니다.
- LDAP 속성 - givenName
User_Federation 탭에서 설정 탭에서 모든 사용자 동기화 를 클릭합니다.
사용자 동기화가 성공적으로 완료되었다는 알림이 표시됩니다.

사용자 탭에서 대시보드에 추가된 사용자를 검색하고 검색 아이콘을 클릭합니다.
사용자를 보려면 특정 행을 클릭합니다. 페더레이션 링크가 사용자 페더레이션 에 제공된 이름으로 표시되어야 합니다.
중요
사용자가 LDAP에서 동기화되지 않으므로 사용자를 수동으로 추가하지 마십시오. 수동으로 추가하는 경우 삭제를 클릭하여 사용자를 삭제합니다.
참고
Red Hat SSO가 현재 작업 환경에서 사용 중인 경우 먼저 SSO를 활성화해야 합니다. 자세한 내용은 Red Hat Ceph Storage 대시보드 가이드 의 Ceph 대시보드의 Single Sign-On 활성화 섹션을 참조하십시오.

검증

영역에 추가된 사용자는 대시보드가 메일 주소와 암호를 사용하여 Ceph 대시보드에 액세스할 수 있습니다.
예제
https://example.ceph.redhat.com:8443

추가 리소스

대시보드에 있는 사용자의 역할을 추가하려면 Red Hat Ceph Storage 대시보드 가이드의 Ceph 대시보드에서역할 생성 섹션을 참조하십시오.