Закрепваме LDAP оторизация към Kubernetes

Малък урок за това как да използвате Keycloak, за да свържете Kubernetes към вашия LDAP сървър и да настроите импортиране на потребители и групи. Това ще ви позволи да настроите RBAC за вашите потребители и да използвате auth-proxy за защита на Kubernetes Dashboard и други приложения, които не знаят как да се оторизират.

Инсталиране на Keycloak

Да приемем, че вече имате LDAP сървър. Може да е Active Directory, FreeIPA, OpenLDAP или нещо друго. Ако нямате LDAP сървър, тогава по принцип можете да създавате потребители директно в интерфейса на Keycloak или да използвате публични доставчици на oidc (Google, Github, Gitlab), резултатът ще бъде почти същият.

Първо, нека инсталираме самия Keycloak, инсталацията може да се извърши отделно или директно към клъстера Kubernetes, като правило, ако имате няколко клъстера Kubernetes, би било по-лесно да го инсталирате отделно. От друга страна, винаги можете да използвате официална диаграма на кормилото и го инсталирайте директно във вашия клъстер.

За да съхранявате данни на Keycloak, ще ви трябва база данни. По подразбиране е h2 (всички данни се съхраняват локално), но също така е възможно да се използва postgres, mysql или mariadb.
Ако все пак решите да инсталирате Keycloak отделно, можете да намерите по-подробни инструкции в официална документация.

Настройка на федерацията

Първо, нека създадем ново царство. Realm е пространството на нашето приложение. Всяко приложение може да има собствена област с различни потребители и настройки за оторизация. Главното царство се използва от самия Keycloak и използването му за каквото и да било друго е грешно.

тласък Добавете област

Опция
Стойност

Име
kubernetes

Име за показване
Kubernetes

HTML показвано име
<img src="https://kubernetes.io/images/nav_logo.svg" width="400" >

Kubernetes по подразбиране проверява дали имейлът на потребителя е потвърден или не. Тъй като използваме собствен LDAP сървър, тази проверка почти винаги ще се върне false. Нека деактивираме представянето на тази настройка в Kubernetes:

Клиентски обхват -> Имейл -> Картографи -> имейл потвърден (Изтрий)

Сега нека да създадем федерацията, за това отиваме на:

Потребителска федерация -> Добавяне на доставчик... -> LDAP

Ето примерна настройка за FreeIPA:

Опция
Стойност

Показвано име на конзолата
freeipa.example.org

Производител
Red Hat Directory Server

UUID LDAP атрибут
ipauniqueid

URL адрес на връзката
ldaps://freeipa.example.org

DN на потребителя
cn=users,cn=accounts,dc=example,dc=org

Свържете DN
uid=keycloak-svc,cn=users,cn=accounts,dc=example,dc=org

Обвързване на идентификационни данни
<password>

Разрешаване на Kerberos удостоверяване:
on

Област Kerberos:
EXAMPLE.ORG

Принципал на сървъра:
HTTP/[email protected]

ключов раздел:
/etc/krb5.keytab

потребител keycloak-svc трябва да бъдат създадени предварително на нашия LDAP сървър.

В случай на Active Directory просто изберете Доставчик: Active Directory и необходимите настройки ще бъдат въведени автоматично във формата.

тласък Save

Сега да продължим:

Потребителска федерация -> freeipa.example.org -> Картографи -> Име

Опция
Стойност

Ldap атрибути
givenName

Сега активирайте груповото картографиране:

Потребителска федерация -> freeipa.example.org -> Картографи -> Създаване на

Опция
Стойност

Име
groups

Тип картограф
group-ldap-mapper

LDAP групи DN
cn=groups,cn=accounts,dc=example,dc=org

Стратегия за извличане на потребителска група
GET_GROUPS_FROM_USER_MEMBEROF_ATTRIBUTE

Това завършва настройката на федерацията, нека да преминем към настройката на клиента.

Настройка на клиента

Нека създадем нов клиент (приложение, което ще получава потребители от Keycloak). Да тръгваме:

Клиенти -> Създаване на

Опция
Стойност

Клиентски идентификационен номер
kubernetes

Тип достъп
confidenrial

Корен URL
http://kubernetes.example.org/

Валидни URI адреси за пренасочване
http://kubernetes.example.org/*

Административен URL адрес
http://kubernetes.example.org/

Също така ще създадем обхват за групи:

Клиентски обхват -> Създаване на

Опция
Стойност

Шаблон
No template

Име
groups

Пълен групов път
false

И настройте картограф за тях:

Клиентски обхват -> групи -> Картографи -> Създаване на

Опция
Стойност

Име
groups

Тип картограф
Group membership

Име на иск за токен
groups

Сега трябва да активираме групово картографиране в обхвата на нашия клиент:

Клиенти -> кубернети -> Клиентски обхват -> Клиентски обхвати по подразбиране

Изберете групи в Налични клиентски обхватинатиснете Добавяне на избрани

Сега нека настроим удостоверяването на нашето приложение, отидете на:

Клиенти -> кубернети

Опция
Стойност

Упълномощаването е активирано
ON

Да натискаме запишете и това завършва настройката на клиента, сега в раздела

Клиенти -> кубернети -> акредитивни писма

можеш да получиш Тайна които ще използваме по-късно.

Конфигуриране на Kubernetes

Настройването на Kubernetes за OIDC оторизация е доста тривиално и не е нещо много сложно. Всичко, което трябва да направите, е да поставите CA сертификата на вашия OIDC сървър /etc/kubernetes/pki/oidc-ca.pem и добавете необходимите опции за kube-apiserver.
За да направите това, актуализирайте /etc/kubernetes/manifests/kube-apiserver.yaml на всички ваши господари:

...
spec:
  containers:
  - command:
    - kube-apiserver
...
    - --oidc-ca-file=/etc/kubernetes/pki/oidc-ca.pem
    - --oidc-client-id=kubernetes
    - --oidc-groups-claim=groups
    - --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
    - --oidc-username-claim=email
...

И също така актуализирайте конфигурацията на kubeadm в клъстера, за да не загубите тези настройки по време на актуализацията:

kubectl edit -n kube-system configmaps kubeadm-config

...
data:
  ClusterConfiguration: |
    apiServer:
      extraArgs:
        oidc-ca-file: /etc/kubernetes/pki/oidc-ca.pem
        oidc-client-id: kubernetes
        oidc-groups-claim: groups
        oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
        oidc-username-claim: email
...

Това завършва настройката на Kubernetes. Можете да повторите тези стъпки във всичките си клъстери Kubernetes.

Първоначално разрешение

След тези стъпки вече ще имате Kubernetes клъстер с конфигурирано разрешение за OIDC. Единственият момент е, че вашите потребители все още нямат конфигуриран клиент, както и своя собствена kubeconfig. За да разрешите този проблем, трябва да конфигурирате автоматичното издаване на kubeconfig на потребителите след успешно оторизиране.

За да направите това, можете да използвате специални уеб приложения, които ви позволяват да удостоверите потребителя и след това да изтеглите готовия kubeconfig. Един от най-удобните е Куберос, ви позволява да опишете всички клъстери на Kubernetes в една конфигурация и лесно да превключвате между тях.

За да конфигурирате Kuberos е достатъчно да опишете шаблона за kubeconfig и да го стартирате със следните параметри:

kuberos https://keycloak.example.org/auth/realms/kubernetes kubernetes /cfg/secret /cfg/template

За повече подробности вж употреба в Github.

Също така е възможно да се използва kubelogin ако искате да упълномощите директно на компютъра на потребителя. В този случай потребителят ще отвори браузър с формуляр за оторизация на localhost.

Полученият kubeconfig може да се провери на сайта jwt.io. Просто копирайте стойността users[].user.auth-provider.config.id-token от вашия kubeconfig във формуляр на сайта и вземете преписа веднага.

Настройка на RBAC

Когато конфигурирате RBAC, можете да се обърнете към потребителското име (полето name в токена jwt) и за група потребители (поле groups в jwt токен). Ето пример за задаване на разрешения за група kubernetes-default-namespace-admins:

kubernetes-default-namespace-admins.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: default-admins
  namespace: default
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: kubernetes-default-namespace-admins
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: default-admins
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: kubernetes-default-namespace-admins

Още примери за RBAC можете да намерите в официална документация на Kubernetes

Настройка на прокси за удостоверяване

Има прекрасен проект keycloak-gatekeeper, което ви позволява да защитите всяко приложение, като позволите на потребителя да се удостовери на OIDC сървъра. Ще ви покажа как можете да го настроите, като използвате таблото за управление на Kubernetes като пример:

dashboard-proxy.yaml

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: kubernetes-dashboard-proxy
spec:
  replicas: 1
  template:
    metadata:
      labels:
        app: kubernetes-dashboard-proxy
    spec:
      containers:
      - args:
        - --listen=0.0.0.0:80
        - --discovery-url=https://keycloak.example.org/auth/realms/kubernetes
        - --client-id=kubernetes
        - --client-secret=<your-client-secret-here>
        - --redirection-url=https://kubernetes-dashboard.example.org
        - --enable-refresh-tokens=true
        - --encryption-key=ooTh6Chei1eefooyovai5ohwienuquoh
        - --upstream-url=https://kubernetes-dashboard.kube-system
        - --resources=uri=/*
        image: keycloak/keycloak-gatekeeper
        name: kubernetes-dashboard-proxy
        ports:
        - containerPort: 80
          livenessProbe:
            httpGet:
              path: /oauth/health
              port: 80
            initialDelaySeconds: 3
            timeoutSeconds: 2
          readinessProbe:
            httpGet:
              path: /oauth/health
              port: 80
            initialDelaySeconds: 3
            timeoutSeconds: 2
---
apiVersion: v1
kind: Service
metadata:
  name: kubernetes-dashboard-proxy
spec:
  ports:
  - port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: kubernetes-dashboard-proxy
  type: ClusterIP

Източник: www.habr.com