8.5. 配置 LDAP 身份提供程序
配置 LDAP 身份提供程序,以使用简单绑定身份验证针对 LDAPv3 服务器验证用户名和密码。
前提条件
在配置 LDAP 身份提供程序时,您需要输入配置的 LDAP URL。配置的 URL 是 RFC 2255 URL,指定要使用的 LDAP 主机和搜索参数。URL 的语法是:
ldap://host:port/basedn?attribute?scope?filter
URL 组件 描述 ldap
对于常规 LDAP,使用
ldap
字符串。对于安全 LDAP (LDAPS),改为使用ldaps
。host:port
LDAP 服务器的名称和端口。LDAP 默认为
localhost:389
,LDAPS 则默认为localhost:636
。basedn
所有搜索都应从中开始的目录分支的 DN。至少,这必须是目录树的顶端,但也可指定目录中的子树。
attribute
要搜索的属性。虽然 RFC 2255 允许使用逗号分隔属性列表,但无论提供多少个属性,都仅使用第一个属性。如果没有提供任何属性,则默认使用
uid
。建议选择一个在您使用的子树中的所有条目间是唯一的属性。scope
搜索的范围。可以是
one
或sub
。如果未提供范围,则默认使用sub
范围。filter
有效的 LDAP 搜索过滤器。如果未提供,则默认为
(objectClass=*)
在进行搜索时,属性、过滤器和提供的用户名会组合在一起,创建类似如下的搜索过滤器:
(&(<filter>)(<attribute>=<username>))
重要如果 LDAP 目录需要身份验证才能搜索,请指定用于执行条目搜索的
bindDN
和bindPassword
。
流程
- 在 OpenShift Cluster Manager 中,导航到 Cluster List 页面,再选择您需要为其配置身份提供程序的集群。
- 点 Access control 选项卡。
点 Add identity provider。
注意您还可以点在集群创建后显示的警告信息中的 Add Oauth 配置 链接来配置身份提供程序。
- 从下拉菜单中选择 LDAP。
- 输入身份提供程序的唯一名称。之后无法更改此名称。
- 从下拉菜单中选择映射方法。在大多数情况下推荐使用 声明。
- 输入 LDAP URL 以指定要使用的 LDAP 搜索参数。
- 可选:输入 绑定 DN 和 绑定密码。
输入将 LDAP 属性映射到身份的属性。
- 输入 ID 属性,其值应用作用户 ID。点 Add more 来添加多个 ID 属性。
- 可选:输入一个 Preferred username 属性,其值应用作显示名称。点 Add more 来添加多个首选用户名属性。
- 可选:输入 Email 属性,其值应用作电子邮件地址。点 Add more 来添加多个电子邮件属性。
- 可选:点 Show advanced Options 将证书颁发机构 (CA) 文件添加到 LDAP 身份提供程序中,以验证所配置 URL 的服务器证书。点 Browse 找到并附加 CA 文件到身份提供程序。
可选:在高级选项下,您可以选择使 LDAP 供应商不安全。如果您选择这个选项,则无法使用 CA 文件。
重要如果您使用不安全的 LDAP 连接(ldap:// 或端口 389),则必须在配置向导中检查 Insecure 选项。
- 单击 Confirm。
验证
- 配置的身份提供程序现在在 Cluster List 页面的 Access control 选项卡中可见。