আমরা Kubernetes এ LDAP অনুমোদন বেঁধে দিই

আপনার LDAP সার্ভারের সাথে Kubernetes সংযোগ করতে এবং ব্যবহারকারী এবং গোষ্ঠীর আমদানি সেট আপ করতে কীক্লোক ব্যবহার করতে হয় তার একটি ছোট টিউটোরিয়াল। এটি আপনাকে আপনার ব্যবহারকারীদের জন্য RBAC সেট আপ করতে এবং Kubernetes ড্যাশবোর্ড এবং অন্যান্য অ্যাপ্লিকেশনগুলিকে সুরক্ষিত করতে auth-proxy ব্যবহার করার অনুমতি দেবে যেগুলি কীভাবে নিজেদের অনুমোদন করতে জানে না৷

কীক্লোক ইনস্টলেশন

ধরুন আপনার কাছে ইতিমধ্যেই একটি LDAP সার্ভার আছে। এটি অ্যাক্টিভ ডিরেক্টরি, ফ্রিআইপিএ, ওপেনএলডিএপি বা যে কোনও কিছু হতে পারে। আপনার যদি LDAP সার্ভার না থাকে, তবে নীতিগতভাবে আপনি কীক্লোক ইন্টারফেসে সরাসরি ব্যবহারকারী তৈরি করতে পারেন, বা সর্বজনীন ODC প্রদানকারী (Google, Github, Gitlab) ব্যবহার করতে পারেন, ফলাফল প্রায় একই হবে।

প্রথমত, আসুন কীক্লোক নিজেই ইনস্টল করি, ইনস্টলেশনটি আলাদাভাবে করা যেতে পারে, বা সরাসরি কুবারনেটস ক্লাস্টারে, একটি নিয়ম হিসাবে, আপনার যদি বেশ কয়েকটি কুবারনেটস ক্লাস্টার থাকে তবে এটি আলাদাভাবে ইনস্টল করা সহজ হবে। অন্যদিকে, আপনি সর্বদা ব্যবহার করতে পারেন অফিসিয়াল হেলম চার্ট এবং এটি সরাসরি আপনার ক্লাস্টারে ইনস্টল করুন।

কীক্লোক ডেটা সঞ্চয় করতে আপনার একটি ডাটাবেস প্রয়োজন হবে। ডিফল্ট হয় h2 (সমস্ত ডেটা স্থানীয়ভাবে সংরক্ষণ করা হয়), তবে এটি ব্যবহার করাও সম্ভব postgres, mysql বা mariadb.
আপনি যদি এখনও আলাদাভাবে কীক্লোক ইনস্টল করার সিদ্ধান্ত নেন, তাহলে আপনি আরও বিস্তারিত নির্দেশাবলী পেতে পারেন অফিসিয়াল ডকুমেন্টেশন.

ফেডারেশন সেটআপ

প্রথমত, আসুন একটি নতুন রাজ্য তৈরি করি। রাজ্য আমাদের আবেদনের স্থান। বিভিন্ন ব্যবহারকারী এবং অনুমোদন সেটিংস সহ প্রতিটি অ্যাপ্লিকেশনের নিজস্ব ক্ষেত্র থাকতে পারে। মূল ক্ষেত্রটি কীক্লোক নিজেই ব্যবহার করে এবং অন্য কিছুর জন্য এটি ব্যবহার করা ভুল।

ধাক্কা রাজত্ব যোগ করুন

পছন্দ
মূল্য

নাম
kubernetes

প্রদর্শন নাম
Kubernetes

HTML প্রদর্শনের নাম
<img src="https://kubernetes.io/images/nav_logo.svg" width="400" >

কুবারনেটস ডিফল্টরূপে ব্যবহারকারীর ইমেল নিশ্চিত হয়েছে কিনা তা পরীক্ষা করে। যেহেতু আমরা আমাদের নিজস্ব LDAP সার্ভার ব্যবহার করছি, এই চেকটি প্রায় সবসময়ই ফিরে আসবে false. আসুন Kubernetes-এ এই সেটিংটির উপস্থাপনা অক্ষম করি:

ক্লায়েন্ট স্কোপ -> ই-মেইল -> ম্যাপারস -> ইমেইল যাচাই (মুছে ফেলা)

এখন ফেডারেশন সেট আপ করা যাক, এর জন্য আমরা যাই:

ব্যবহারকারী ফেডারেশন -> প্রদানকারী যোগ করুন... -> LDAP

এখানে FreeIPA এর জন্য একটি উদাহরণ সেটআপ রয়েছে:

পছন্দ
মূল্য

কনসোল প্রদর্শনের নাম
freeipa.example.org

বিক্রেতা
Red Hat Directory Server

UUID LDAP বৈশিষ্ট্য
ipauniqueid

সংযোগ URL
ldaps://freeipa.example.org

ব্যবহারকারী ডিএন
cn=users,cn=accounts,dc=example,dc=org

ডিএন বাঁধুন
uid=keycloak-svc,cn=users,cn=accounts,dc=example,dc=org

শংসাপত্র আবদ্ধ করুন
<password>

Kerberos প্রমাণীকরণের অনুমতি দিন:
on

কারবেরোস রাজ্য:
EXAMPLE.ORG

সার্ভার প্রধান:
HTTP/[email protected]

কী ট্যাব:
/etc/krb5.keytab

ব্যবহারকারী keycloak-svc আমাদের LDAP সার্ভারে আগে থেকেই তৈরি করতে হবে।

সক্রিয় ডিরেক্টরির ক্ষেত্রে, সহজভাবে নির্বাচন করুন বিক্রেতা: সক্রিয় ডিরেক্টরি এবং প্রয়োজনীয় সেটিংস স্বয়ংক্রিয়ভাবে ফর্মে ঢোকানো হবে।

ধাক্কা সংরক্ষণ করুন

এখন চলুন এগিয়ে যাওয়া যাক:

ব্যবহারকারী ফেডারেশন -> freeipa.example.org -> ম্যাপারস -> প্রথম নাম

পছন্দ
মূল্য

Ldap বৈশিষ্ট্য
givenName

এখন গ্রুপ ম্যাপিং সক্ষম করুন:

ব্যবহারকারী ফেডারেশন -> freeipa.example.org -> ম্যাপারস -> সৃষ্টি

পছন্দ
মূল্য

নাম
groups

ম্যাপার টাইপ
group-ldap-mapper

LDAP গ্রুপ DN
cn=groups,cn=accounts,dc=example,dc=org

ব্যবহারকারী গ্রুপ পুনরুদ্ধার কৌশল
GET_GROUPS_FROM_USER_MEMBEROF_ATTRIBUTE

এটি ফেডারেশন সেটআপ সম্পূর্ণ করে, আসুন ক্লায়েন্ট সেট আপ করতে এগিয়ে যাই।

ক্লায়েন্ট সেটআপ

আসুন একটি নতুন ক্লায়েন্ট তৈরি করি (একটি অ্যাপ্লিকেশন যা কীক্লোক থেকে ব্যবহারকারীদের গ্রহণ করবে)। চলো যাই:

ক্লায়েন্টদের মধ্যে -> সৃষ্টি

পছন্দ
মূল্য

ক্লায়েন্ট আইডি
kubernetes

অ্যাক্সেস প্রকার
confidenrial

রুট URL
http://kubernetes.example.org/

বৈধ পুনঃনির্দেশ URI
http://kubernetes.example.org/*

অ্যাডমিন ইউআরএল
http://kubernetes.example.org/

আমরা গ্রুপগুলির জন্য একটি সুযোগও তৈরি করব:

ক্লায়েন্ট স্কোপ -> সৃষ্টি

পছন্দ
মূল্য

টেমপ্লেট
No template

নাম
groups

সম্পূর্ণ গ্রুপ পথ
false

এবং তাদের জন্য একটি ম্যাপার সেট আপ করুন:

ক্লায়েন্ট স্কোপ -> গ্রুপ -> ম্যাপারস -> সৃষ্টি

পছন্দ
মূল্য

নাম
groups

ম্যাপার টাইপ
Group membership

টোকেন দাবির নাম
groups

এখন আমাদের ক্লায়েন্ট স্কোপে গ্রুপ ম্যাপিং সক্ষম করতে হবে:

ক্লায়েন্টদের মধ্যে -> কুবেরনেটস -> ক্লায়েন্ট স্কোপ -> ডিফল্ট ক্লায়েন্ট স্কোপ

নির্বাচন গ্রুপ в উপলব্ধ ক্লায়েন্ট স্কোপ, টিপুন নির্বাচিত যোগ করুন

এখন আমাদের অ্যাপ্লিকেশনের প্রমাণীকরণ সেট আপ করা যাক, এখানে যান:

ক্লায়েন্টদের মধ্যে -> কুবেরনেটস

পছন্দ
মূল্য

অনুমোদন সক্ষম
ON

এর ধাক্কা দেওয়া যাক রক্ষা এবং এটি ক্লায়েন্ট সেটআপ সম্পূর্ণ করে, এখন ট্যাবে

ক্লায়েন্টদের মধ্যে -> কুবেরনেটস -> পরিচয়পত্র

তুমি পেতে পার গোপন যা আমরা পরে ব্যবহার করব।

কুবারনেটস কনফিগার করা হচ্ছে

OIDC অনুমোদনের জন্য Kubernetes সেট আপ করা বেশ তুচ্ছ এবং খুব জটিল কিছু নয়। আপনাকে যা করতে হবে তা হল আপনার OIDC সার্ভারের CA সার্টিফিকেট /etc/kubernetes/pki/oidc-ca.pem এবং kube-apiserver-এর জন্য প্রয়োজনীয় বিকল্প যোগ করুন।
এটি করতে, আপডেট করুন /etc/kubernetes/manifests/kube-apiserver.yaml আপনার সমস্ত প্রভুর উপর:

...
spec:
  containers:
  - command:
    - kube-apiserver
...
    - --oidc-ca-file=/etc/kubernetes/pki/oidc-ca.pem
    - --oidc-client-id=kubernetes
    - --oidc-groups-claim=groups
    - --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
    - --oidc-username-claim=email
...

এবং ক্লাস্টারে kubeadm কনফিগারেশন আপডেট করুন যাতে আপডেটের সময় এই সেটিংসটি হারাতে না পারে:

kubectl edit -n kube-system configmaps kubeadm-config

...
data:
  ClusterConfiguration: |
    apiServer:
      extraArgs:
        oidc-ca-file: /etc/kubernetes/pki/oidc-ca.pem
        oidc-client-id: kubernetes
        oidc-groups-claim: groups
        oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
        oidc-username-claim: email
...

এটি Kubernetes সেটআপ সম্পূর্ণ করে। আপনি আপনার সমস্ত Kubernetes ক্লাস্টার জুড়ে এই পদক্ষেপগুলি পুনরাবৃত্তি করতে পারেন।

প্রাথমিক অনুমোদন

এই পদক্ষেপগুলির পরে, আপনার কাছে ইতিমধ্যেই OIDC অনুমোদনের সাথে একটি Kubernetes ক্লাস্টার থাকবে। একমাত্র পয়েন্ট হল যে আপনার ব্যবহারকারীদের এখনও একটি ক্লায়েন্ট কনফিগার করা নেই, সেইসাথে তাদের নিজস্ব kubeconfig। এই সমস্যাটি সমাধান করার জন্য, আপনাকে সফল অনুমোদনের পরে ব্যবহারকারীদের জন্য স্বয়ংক্রিয়ভাবে kubeconfig প্রদান কনফিগার করতে হবে।

এটি করার জন্য, আপনি বিশেষ ওয়েব অ্যাপ্লিকেশনগুলি ব্যবহার করতে পারেন যা আপনাকে ব্যবহারকারীকে প্রমাণীকরণ করতে এবং তারপর সমাপ্ত kubeconfig ডাউনলোড করতে দেয়। সবচেয়ে সুবিধাজনক এক কুবেরোস, এটি আপনাকে একটি কনফিগারেশনে সমস্ত Kubernetes ক্লাস্টার বর্ণনা করতে এবং সহজেই তাদের মধ্যে স্যুইচ করতে দেয়।

কুবেরোস কনফিগার করার জন্য, kubeconfig এর জন্য টেমপ্লেট বর্ণনা করা এবং নিম্নলিখিত পরামিতিগুলির সাথে এটি চালানো যথেষ্ট:

kuberos https://keycloak.example.org/auth/realms/kubernetes kubernetes /cfg/secret /cfg/template

আরো বিস্তারিত জানার জন্য দেখুন ব্যবহার গিথুবে।

এটি ব্যবহার করাও সম্ভব কুবেলগইন আপনি যদি সরাসরি ব্যবহারকারীর কম্পিউটারে অনুমোদন করতে চান। এই ক্ষেত্রে, ব্যবহারকারী লোকালহোস্টে একটি অনুমোদন ফর্ম সহ একটি ব্রাউজার খুলবে।

ফলে kubeconfig সাইটে চেক করা যেতে পারে jwt.io. শুধু মান কপি users[].user.auth-provider.config.id-token আপনার kubeconfig থেকে সাইটের একটি ফর্মে যান এবং এখনই ট্রান্সক্রিপ্টটি পান।

RBAC সেটআপ

RBAC কনফিগার করার সময়, আপনি উভয় ব্যবহারকারীর নাম উল্লেখ করতে পারেন (ক্ষেত্র name jwt টোকেনে) এবং একদল ব্যবহারকারীর জন্য (ক্ষেত্র groups jwt টোকেনে)। এখানে একটি গ্রুপের জন্য অনুমতি সেট করার একটি উদাহরণ kubernetes-default-namespace-admins:

kubernetes-default-namespace-admins.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: default-admins
  namespace: default
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: kubernetes-default-namespace-admins
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: default-admins
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: kubernetes-default-namespace-admins

RBAC-এর জন্য আরও উদাহরণ পাওয়া যাবে অফিসিয়াল কুবারনেটস ডকুমেন্টেশন

প্রমাণ-প্রক্সি সেট করা হচ্ছে

একটি বিস্ময়কর প্রকল্প আছে কীক্লোক-দারোয়ান, যা আপনাকে ব্যবহারকারীকে OIDC সার্ভারে প্রমাণীকরণ করার অনুমতি দিয়ে যেকোনো অ্যাপ্লিকেশন সুরক্ষিত করতে দেয়। আমি আপনাকে দেখাব কিভাবে আপনি কুবারনেটস ড্যাশবোর্ড ব্যবহার করে একটি উদাহরণ হিসাবে এটি সেট আপ করতে পারেন:

dashboard-proxy.yaml

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: kubernetes-dashboard-proxy
spec:
  replicas: 1
  template:
    metadata:
      labels:
        app: kubernetes-dashboard-proxy
    spec:
      containers:
      - args:
        - --listen=0.0.0.0:80
        - --discovery-url=https://keycloak.example.org/auth/realms/kubernetes
        - --client-id=kubernetes
        - --client-secret=<your-client-secret-here>
        - --redirection-url=https://kubernetes-dashboard.example.org
        - --enable-refresh-tokens=true
        - --encryption-key=ooTh6Chei1eefooyovai5ohwienuquoh
        - --upstream-url=https://kubernetes-dashboard.kube-system
        - --resources=uri=/*
        image: keycloak/keycloak-gatekeeper
        name: kubernetes-dashboard-proxy
        ports:
        - containerPort: 80
          livenessProbe:
            httpGet:
              path: /oauth/health
              port: 80
            initialDelaySeconds: 3
            timeoutSeconds: 2
          readinessProbe:
            httpGet:
              path: /oauth/health
              port: 80
            initialDelaySeconds: 3
            timeoutSeconds: 2
---
apiVersion: v1
kind: Service
metadata:
  name: kubernetes-dashboard-proxy
spec:
  ports:
  - port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: kubernetes-dashboard-proxy
  type: ClusterIP

উত্স: www.habr.com