2.9. 使用 Red Hat Single Sign-On 进行仪表板同步用户
管理员可以利用红帽具有轻量级目录访问协议(LDAP)的单点登录(SSO)提供对红帽 Ceph 存储仪表板上的用户访问。
先决条件
- 一个正在运行的 Red Hat Ceph Storage 集群。
- 已安装控制面板。
- 控制面板的管理员级别访问权限。
- 用户添加到仪表板中。
- 所有节点上的 root 级别访问。
- 从 ZIP 文件安装的红帽单点登录。如需更多信息,请参阅通过 zip 文件安装 Red Hat Single Sign-On。
流程
- 在安装了 Red Hat Ceph Storage 的系统中下载 Red Hat Single Sign-On 7.4.0 服务器。
解压文件夹:
[root@cephuser]# unzip rhsso-7.4.0.zip
进入
standalone/configuration目录,打开standalone.xml进行编辑:[root@cephuser]# cd standalone/configuration [root@cephuser configuration]# vi standalone.xml
-
使用安装了 Red Hat Single Sign-On 的机器的 IP 地址替换
localhost和127.0.0.1的两个实例。 可选:对于 Red Hat Enterprise Linux 8,用户可能会获得证书颁发机构(CA)问题。从 CA 导入自定义证书,并使用精确的 java 版本将其移动到密钥存储中。
示例
[root@cephuser]# keytool -import -noprompt -trustcacerts -alias ca -file ../ca.cer -keystore /etc/java/java-1.8.0-openjdk/java-1.8.0-openjdk-1.8.0.272.b10-3.el8_3.x86_64/lib/security/cacert
要从
rh-sso-7.4文件夹的bin目录启动服务器,请运行独立引导脚本:[root@cephuser bin]# ./standalone.sh
使用用户名和密码在 http:_IP_ADDRESS_:8080/auth 中创建 admin 帐户:
注意admin 帐户必须在您第一次登录控制台时创建。
使用创建的凭证登录到 admin 控制台:
若要创建域,请单击 Master 下拉列表。在此域中,管理员提供对用户和应用的访问权限。
在 Add Realm 窗口中,输入 realm 的名称,并将 Enabled 参数设置为 ON,然后单击 Create:
注意realm 名称区分大小写。
在 Realm Settings 选项卡中,设置以下参数并点 Save:
- enabled - ON
- 用户管理的访问 - ON
复制 SAML 2.0 身份提供程序元数据的链接地址
在 Clients 选项卡中,点 Create:
在 Add Client 窗口中设置以下参数并点 Save:
Client ID - BASE_URL:8443/auth/saml2/metadata
示例
https://magna082.ceph.redhat.com:8443/auth/saml2/metadata
客户端协议 - saml
在 Clients 窗口的 Settings 选项卡中,设置以下参数并点 Save:
Client ID - BASE_URL:8443/auth/saml2/metadata
示例
https://magna082.ceph.redhat.com:8443/auth/saml2/metadata
- enabled - ON
- 客户端协议 - saml
- 包括 AuthnStatement - ON
- Sign Documents - ON
- Signature Algorithm - RSA_SHA1
- SAML Signature Key Name - KEY_ID
Valid Redirect URLs - BASE_URL:8443/*
示例
https://magna082.ceph.redhat.com:8443/*
Base URL - BASE_URL:8443
示例
https://magna082.ceph.redhat.com:8443/
Master SAML 处理 URL - http://localhost:8080/auth/realms/REALM_NAME/protocol/saml/descriptor
示例
http://localhost:8080/auth/realms/Ceph_LDAP/protocol/saml/descriptor
注意从 Realm Settings 选项卡中粘贴 SAML 2.0 身份提供程序元数据的链接。
在 Fine Grain SAML Endpoint Configuration 下,设置参数:
assertion Consumer Service POST Binding URL - BASE_URL:8443/#/dashboard
示例
https://magna082.ceph.redhat.com:8443/#/dashboard
assertion Consumer Service Redirect Binding URL - BASE_URL:8443/#/dashboard
示例
https://magna082.ceph.redhat.com:8443/#/dashboard
注销服务重定向绑定 URL - BASE_URL:8443/
示例
https://magna082.ceph.redhat.com:8443/
在 Clients 窗口的 Mappers 选项卡中,设置以下参数并点 Save:
- 协议 - saml
- name - username
- mapper Property - 用户属性
- 属性 - username
SAML 属性名称 - 用户名
在 Clients Scope 选项卡中,选择 role_list :
在 Mappers 选项卡中,选择 角色列表,将 Single Role Attribute 设置为 ON。
选择 User_Federation 选项卡:
在 User Federation 窗口中,从下拉菜单中选择 ldap :
在 User_Federation 窗口中,Settings 选项卡设置以下参数并点 Save:
- 控制台显示名称 - rh-ldap
- 导入用户 - ON
- Edit_Mode - READ_ONLY
- 用户名 LDAP 属性 - username
- RDN LDAP 属性 - username
- UUID LDAP 属性 - nsuniqueid
- 用户对象类 - inetOrgPerson, organizationalPerson, rhatPerson
Connection URL - ldap:://myldap.example.com
示例
ldap://ldap.corp.redhat.com
单击 Test Connection。
您将收到一个通知,即 LDAP 连接成功。
用户 DN - ou=users, dc=example, dc=com
示例
ou=users,dc=redhat,dc=com
bind Type - simple
单击 Test authentication。
您将收到通知 LDAP 身份验证成功。
在 Mappers 选项卡中,选择 第一个名称 行并编辑以下参数,点 Save:
LDAP 属性 - givenName
在 User_Federation 选项卡中,单击 Settings 选项卡,单击 Synchronize all users :
您将收到通知,通知用户同步被成功更新。
在 Users 选项卡中,搜索添加到仪表板中的用户并点击 Search 图标:
若要查看用户,请单击所在行。您应看到联合链接,作为提供给用户 Federation 的名称。
重要不要手动添加用户。如果手动添加,则点 Delete 来删除该用户。
添加到 realm 和控制面板的用户可以使用其电子邮件地址和密码访问 Ceph 控制面板。
示例
https://magna082.ceph.redhat.com:8443
