主页
产品
OpenShift Container Platform
3.11
配置集群
14.6. 嵌套成员资格同步示例

14.6. 嵌套成员资格同步示例

OpenShift Container Platform 中的组不嵌套。在消耗数据之前，LDAP 服务器必须平展组成员资格。Microsoft 的 Active Directory Server 通过 LDAP_MATCHING_RULE_IN_CHAIN 规则支持这一功能，其 OID 为 1.2.840.113556.1.4.1941。另外，使用此匹配规则时只能同步明确列在白名单中的组。

本节中的示例使用了增强 Active Directory 模式，它将同步一个名为 admins 的组，该组有一个用户 Jane 和一个组 otheradmins。otheradmins 组具有一个用户成员：Jim.这个示例阐述了：

如何将组和用户添加到 LDAP 服务器中。
LDAP 同步配置文件的概貌。
同步之后 OpenShift Container Platform 中会生成什么组记录。

在增强 Active Directory 模式中，用户（Jane 和 Jim）和组都作为第一类条目存在于 LDAP 服务器中，组成员资格则存储在用户或组的属性中。以下 ldif 片段定义了这个模式的用户和组：

使用增强 Active Directory 模式和嵌套成员的 LDAP 条目：augmented_active_directory_nested.ldif

dn: ou=users,dc=example,dc=com
objectClass: organizationalUnit
ou: users

dn: cn=Jane,ou=users,dc=example,dc=com
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: testPerson
cn: Jane
sn: Smith
displayName: Jane Smith
mail: jane.smith@example.com
memberOf: cn=admins,ou=groups,dc=example,dc=com



dn: cn=Jim,ou=users,dc=example,dc=com
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: testPerson
cn: Jim
sn: Adams
displayName: Jim Adams
mail: jim.adams@example.com
memberOf: cn=otheradmins,ou=groups,dc=example,dc=com



dn: ou=groups,dc=example,dc=com
objectClass: organizationalUnit
ou: groups

dn: cn=admins,ou=groups,dc=example,dc=com


objectClass: group
cn: admins
owner: cn=admin,dc=example,dc=com
description: System Administrators
member: cn=Jane,ou=users,dc=example,dc=com
member: cn=otheradmins,ou=groups,dc=example,dc=com

dn: cn=otheradmins,ou=groups,dc=example,dc=com


objectClass: group
cn: otheradmins
owner: cn=admin,dc=example,dc=com
description: Other System Administrators
memberOf: cn=admins,ou=groups,dc=example,dc=com


member: cn=Jim,ou=users,dc=example,dc=com

1 2 5: 用户和组的成员资格列为对象的属性。
3 4: 组是在 LDAP 服务器上的第一类条目。
6: otheradmins 组是 admins 组的成员。

要将嵌套的组与 Active Directory 同步，您必须提供用户条目和组条目的 LDAP 查询定义，以及在内部 OpenShift Container Platform 组记录中代表它们的属性。另外，此配置也需要进行某些修改：

oc adm groups sync 命令必须明确将组列在白名单中。
用户的 groupMembershipAttributes 必须包含 "memberOf:1.2.840.113556.1.4.1941:"，以遵守 LDAP_MATCHING_RULE_IN_CHAIN 规则。
groupUIDAttribute 必须设为 dn。
groupsQuery：
- 不得设置 filter。
- 必须设置有效的 derefAliases。
- 不应设置 basedn，因为此值将被忽略。
- 不应设置 scope，因为此值将被忽略。

为明确起见，您在 OpenShift Container Platform 中创建的组应尽可能将可分辨名称以外的属性用于面向用户或管理员的字段。例如，通过电子邮件标识 OpenShift Container Platform 组的用户，并将该组的名称用作通用名称。以下配置文件创建了这些关系：

使用增强 Active Directory 模式和嵌套成员的 LDAP 同步配置：increaseded_active_directory_config_nested.yaml

kind: LDAPSyncConfig
apiVersion: v1
url: ldap://LDAP_SERVICE_IP:389
augmentedActiveDirectory:
    groupsQuery:


        derefAliases: never
        pageSize: 0
    groupUIDAttribute: dn


    groupNameAttributes: [ cn ]


    usersQuery:
        baseDN: "ou=users,dc=example,dc=com"
        scope: sub
        derefAliases: never
        filter: (objectclass=inetOrgPerson)
        pageSize: 0
    userNameAttributes: [ uid ]


    groupMembershipAttributes: [ "memberOf:1.2.840.113556.1.4.1941:" ]

1: 无法指定 groupsQuery 过滤器。groupsQuery 基本 DN 和范围值将被忽略。groupsQuery 必须设置有效的 derefAliases。
2: 唯一标识 LDAP 服务器上组的属性。必须设为 dn。
3: 要用作组名称的属性。
4: 用作 OpenShift Container Platform 组记录中用户名称的属性。大多数安装中首选使用 uid 或 sAMAccountName。
5: 存储成员资格信息的用户属性。注意 LDAP_MATCHING_RULE_IN_CHAIN 的使用。

使用 augmented_active_directory_config_nested.yaml 文件运行同步：

$ oc adm groups sync \
    'cn=admins,ou=groups,dc=example,dc=com' \
    --sync-config=augmented_active_directory_config_nested.yaml \
    --confirm

注意

您必须明确将 cn=admins,ou=groups,dc=example,dc=com 组列在白名单中。

OpenShift Container Platform 创建以下组记录作为上述同步操作的结果：

使用 augmented_active_directory_config_nested.yaml 文件创建的 OpenShift 组

apiVersion: user.openshift.io/v1
kind: Group
metadata:
  annotations:
    openshift.io/ldap.sync-time: 2015-10-13T10:08:38-0400


    openshift.io/ldap.uid: cn=admins,ou=groups,dc=example,dc=com


    openshift.io/ldap.url: LDAP_SERVER_IP:389


  creationTimestamp:
  name: admins


users:


- jane.smith@example.com
- jim.adams@example.com

1: 此 OpenShift Container Platform 组与 LDAP 服务器最后一次同步的时间，采用 ISO 6801 格式。
2: LDAP 服务器上组的唯一标识符。
3: 存储该组记录的 LDAP 服务器的 IP 地址和主机。
4: 根据同步文件指定的组的名称。
5: 属于组的成员的用户，名称由同步文件指定。请注意，嵌套组成员包含在内，因为 Microsoft Active Directory Server 已经平展了组成员关系。

14.6. 嵌套成员资格同步示例

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links