概述
只要是个公司,基本上都有邮箱和 AD(Active Directory). 在 AD 里,已经有了:
- 用户
- 账号密码
- 邮箱
- 用户组
- 组织架构
所以对于一些仅限于本公司一定范围内人员使用的管理或后台或运营运维类系统,其实是非常适合对接 AD 来进行认证、分组,以及根据分组来进行权限分配的。
对于 Rancher,假设使用者只会有这么几类:
- 管理员:运维部门
- 项目管理员: 项目负责人
- 使用者: 开发
- 只读用户: 其他人员
那么就可以直接对接 AD 来实现认证、登录、分组、授权。
📚️Reference:
这使 Rancher 管理员可以对外部用户系统中的用户和组进行集群和项目的访问控制,同时允许最终用户在登录 Rancher UI 时使用其 Active Directory 凭据进行身份验证。
AD 账号申请
首先必须从邮箱管理员或 AD 管理员那申请一个新的 AD 用户,以用作 Rancher 的服务账户。此用户需要的权限是:
- 可以搜索、读取(只读即可) AD 域下的用户和组,及其属性 (比如至少要有 运维部门 / 开发部门 / 项目部门相关 OU 下的权限)
配置步骤
详细的步骤直接查看这里:对接 Active Directory | Rancher 文档
这里结合个人的实践说一些实用技巧:
AD 服务器参数
- 服务帐户 (service account) 用户名:就是 AD 管理员提供给你的 CN, 这里可能会给到你这样的一个串:
CN=RancherSA,OU=ApplicationAccount,DC=example,DC=com, 那么就只需要填写RancherSA就好了。 - 用户搜索库:如果 运维部门 / 开发部门 / 项目部门 都在 IT 部之下,IT 部的 OU 是:
OU=ITDepartment,DC=example,DC=com, 那么就填写这个。 - 用户组搜索库:这里折腾了很久,你一定要规划清楚要根据什么维度来划分用户组,并且该用户组对应的
objectClass是什么,而且该objectClass一定要有member这样的属性和用户来关联。
关于用户组的确认,我使用 JXplorer 来进行详细的分析和查看,具体如下:
JXplorer
这里我使用 AD Client - JXplorer
登录截图如下:
JXplorer 登录截图
JXplorer 首页
关于用户组,当初是想直接使用 组织架构 来作为用户组,组织架构的信息如下:
objectClass: organizationalUnit- 虽然从下图来看,组织架构 和 用户是有层次关系的,但是,在其属性中,
member却为空!
所以,这个是 不能用作用户组的.
如果用了这个,并根据用户组来配置权限,那么权限是无法通过用户组来映射到具体的用户的。
第二个选项,是想用 邮件组 (mail group) 作为用户组,邮件组的信息如下:
objectClass: groupmember和用户 (objectClass: person) 是关联的。如下图:
mail group AD
如上,那么是可以将 邮件组 (mail group) 作为用户组。而且🐾注意,邮件组是位于另外一个 OU 的,具体为:OU=Mail Group,DC=example,DC=com
综上,用户组搜索库最终为:OU=Mail Group,DC=example,DC=com
配置用户
这里还是通过 JXplorer, 点击具体的一个人,查看其属性信息,示例如下图:
用户的属性
- 对象类:
person或user都可以 - 用户名属性:
name或cn都可以 - 登录属性:一般都为
sAMAccountName, 如果想要使用邮箱登录,就是userPrincipalName - 搜索属性:
sAMAccountName|sn|giverName(默认值)(可以通过使用管道 (“|”) 符号分隔属性来指定多个属性。) - 用户启用属性:
userAccountControl(默认值)
配置组
- 对象类:
group(邮件组) - 名称属性:
name - 用户组成员属性:
distinguishedName(默认值) - 用户组成员映射属性:
member - 用户组域名属性:
name
测试身份验证
这里填写管理员账号对应的 AD 账号。验证成功该 AD 账号直接就是管理员级别的权限.
授权组
至此,就可以根据用户组来进行授权,如下图:
根据用户组来进行授权
集群级别授权
可以根据用户组来对集群级别进行授权,如下图:
集群级别授权
项目级别授权
可以根据用户组来对项目级别进行授权,如下图:
项目级别授权
🎉🎉🎉
