第 10 章 Red Hat Quay 的 LDAP 身份验证设置
轻量级目录访问协议(LDAP)是一个开放的、厂商中立的行业标准应用程序协议,用于通过互联网协议(IP)网络访问和维护分布式目录信息服务。Red Hat Quay 支持使用 LDAP 作为身份提供程序。
10.1. 启用 LDAP 时的注意事项
在为 Red Hat Quay 部署启用 LDAP 之前,您应该考虑以下内容:
现有的 Red Hat Quay 部署
当您为已经配置了用户的现有 Red Hat Quay 部署启用 LDAP 时,用户名之间可能会出现冲突。例如,在启用 LDAP 之前,在 Red Hat Quay 中手动创建了一个用户 alice
。如果 LDAP 目录中也存在 username
,当 alice 第一次使用 LDAP 登录时,Red Hat Quay 会自动创建一个新的用户 alice
alice-1
。Red Hat Quay 随后会自动将 LDAP 凭据映射到 alice
帐户。出于一致性的原因,您的 Red Hat Quay 部署可能会出现错误。建议您在启用 LDAP 之前从 Red Hat Quay 中删除任何可能冲突的本地帐户名称。
手动创建用户和 LDAP 身份验证
当为 LDAP 配置 Red Hat Quay 时,如果配置选项 FEATURE_USER_CREATION
设置为 true
,则在第一次登录时会在 Red Hat Quay 的数据库中自动创建 LDAP 验证的用户。如果此选项设为 false
,则 LDAP 用户自动创建用户会失败,并且不允许该用户登录。在这种情况下,超级用户需要首先创建所需的用户帐户。相反,如果将 FEATURE_USER_CREATION
设置为 true
,这也意味着用户仍然可以从 Red Hat Quay 登录屏幕创建一个帐户,即使 LDAP 中存在对等用户。