אנו מהדקים את הרשאת ActiveDirectory ל-Kubernetes באמצעות Keycloak

מאמר זה נכתב כדי להרחיב את הנושא קיים, אבל מדבר על התכונות של החבילה עם Microsoft ActiveDirectory, וגם משלים אותו.

במאמר זה אספר לכם כיצד להתקין ולהגדיר:

• גלימת מפתח הוא פרויקט קוד פתוח. מה שמספק נקודת כניסה אחת ליישומים. עובד עם פרוטוקולים רבים, כולל LDAP ו-OpenID שאנו מעוניינים בהם.
• שומר סף במעיל מפתח - אפליקציית פרוקסי הפוך המאפשרת לך לשלב הרשאות דרך Keycloak.
• גַמלָה - יישום שמייצר קונפיגורציה עבור kubectl שאיתה ניתן להיכנס ולהתחבר ל-Kubernetes API דרך OpenID.

כיצד פועלות הרשאות ב-Kubernetes.

אנחנו יכולים לנהל את זכויות המשתמש/הקבוצה באמצעות RBAC, כבר נוצרו על זה חבורה של מאמרים, לא אתעכב על זה בפירוט. הבעיה היא שאתה יכול להשתמש ב-RBAC כדי להגביל את זכויות המשתמש, אבל Kubernetes לא יודע כלום על משתמשים. מסתבר שאנחנו צריכים מנגנון מסירת משתמשים ב-Kubernetes. לשם כך נוסיף ל-Kuberntes OpenID ספק שיגיד שמשתמש כזה באמת קיים, ו-Kubernetes בעצמה תיתן לו את הזכויות.

הדרכה

• תזדקק לאשכול Kubernetes או מיניקוב
• של Active Directory
• דומיינים:
  keycloak.example.org
  kubernetes-dashboard.example.org
  gangway.example.org
• אישור לדומיינים או אישור בחתימה עצמית

אני לא אתעכב על איך ליצור תעודה בחתימה עצמית, אתה צריך ליצור 2 תעודות, זה השורש (רשות האישורים) ולקוח התווים הכלליים לדומיין *.example.org

לאחר קבלת / הנפקת אישורים, יש להוסיף את הלקוח ל-Kubernetes, לשם כך אנו יוצרים עבורו סוד:

kubectl create secret tls tls-keycloak --cert=example.org.crt --key=example.org.pem

לאחר מכן, נשתמש בו עבור בקר ה-Ingress שלנו.

התקנת Keycloak

החלטתי שהדרך הקלה ביותר היא להשתמש בפתרונות מוכנים לכך, כלומר תרשימי הגה.

התקן את המאגר ועדכן אותו:

helm repo add codecentric https://codecentric.github.io/helm-charts
helm repo update

צור קובץ keycloak.yml עם התוכן הבא:

keycloak.yml

keycloak:
  # Имя администратора
  username: "test_admin"
  # Пароль администратор  
  password: "admin"
  # Эти флаги нужны что бы позволить загружать в Keycloak скрипты прямо через web морду. Это нам 
  понадобиться что бы починить один баг, о котором ниже.
  extraArgs: "-Dkeycloak.profile.feature.script=enabled -Dkeycloak.profile.feature.upload_scripts=enabled" 
  # Включаем ingress, указываем имя хоста и сертификат который мы предварительно сохранили в secrets
  ingress:
    enabled: true 
    path: /
    annotations:
      kubernetes.io/ingress.class: nginx
      ingress.kubernetes.io/affinity: cookie
    hosts:
      - keycloak.example.org
    tls:
    - hosts:
        - keycloak.example.org
      secretName: tls-keycloak
  # Keycloak для своей работы требует базу данных, в тестовых целях я разворачиваю Postgresql прямо в Kuberntes, в продакшене так лучше не делать!
  persistence:
    deployPostgres: true
    dbVendor: postgres

postgresql:
  postgresUser: keycloak
  postgresPassword: ""
  postgresDatabase: keycloak
  persistence:
    enabled: true

הגדרת הפדרציה

לאחר מכן, עבור אל ממשק האינטרנט keycloak.example.org

לחץ בפינה השמאלית הוסף ממלכה

מפתח
ערך

שם
קוברנטס

צג שם
קוברנט

השבת את אימות הדוא"ל של המשתמש:
היקפי לקוח —> אימייל —> מיפויים —> אימייל מאומת (מחק)

הקמנו את הפדרציה לייבא משתמשים מ-ActiveDirectory, אני אשאיר צילומי מסך למטה, אני חושב שזה יהיה ברור יותר.

פדרציית משתמשים —> הוסף ספק... —> ldap

הגדרת הפדרציה


אם הכל בסדר, אז לאחר לחיצה על הכפתור סנכרן את כל המשתמשים תראה הודעה על ייבוא ​​מוצלח של משתמשים.

בשלב הבא עלינו למפות את הקבוצות שלנו

פדרציית המשתמשים --> ldap_localhost --> מאפים --> צור

יצירת ממפה

הגדרת לקוח

יש צורך ליצור לקוח, מבחינת Keycloak זו אפליקציה שתאושר ממנו. אדגיש את הנקודות החשובות בצילום המסך באדום.

לקוחות —> צור

הגדרת לקוח

בואו ניצור תרומה לקבוצות:

היקפי לקוח —> צור

צור היקף

והגדר עבורם מפה:

היקפי לקוח —> קבוצות —> ממפים —> צור

Mapper

הוסף את המיפוי של הקבוצות שלנו להיקפי ברירת המחדל של לקוחות:

לקוחות —> kubernetes —> היקפי לקוח —> היקפי לקוח ברירת מחדל
בחר קבוצות в היקפי לקוח זמיניםלחץ הוסף נבחרים

אנו מקבלים את הסוד (ונכתוב אותו לשרשור) בו נשתמש להרשאה ב-Keycloak:

לקוחות —> kubernetes —> אישורים —> סוד
זה משלים את ההגדרה, אבל הייתה לי שגיאה כאשר, לאחר הרשאה מוצלחת, קיבלתי שגיאה 403. דוח שגיאות.

לתקן:

היקפי לקוח —> תפקידים —> ממפים —> צור

ממפה

קוד סקריפט

// add current client-id to token audience
token.addAudience(token.getIssuedFor());

// return token issuer as dummy result assigned to iss again
token.getIssuer();

הגדרת Kubernetes

עלינו לציין היכן נמצא אישור השורש שלנו מהאתר, והיכן נמצא ספק ה-OIDC.
כדי לעשות זאת, ערוך את הקובץ /etc/kubernetes/manifests/kube-apiserver.yaml

kube-apiserver.yaml

...
spec:
  containers:
  - command:
    - kube-apiserver
...
    - --oidc-ca-file=/var/lib/minikube/certs/My_Root.crt
    - --oidc-client-id=kubernetes
    - --oidc-groups-claim=groups
    - --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
    - --oidc-username-claim=email
...

עדכן את תצורת kubeadm באשכול:

kubeadmconfig

kubectl edit -n kube-system configmaps kubeadm-config

...
data:
  ClusterConfiguration: |
    apiServer:
      extraArgs:
        oidc-ca-file: /var/lib/minikube/certs/My_Root.crt
        oidc-client-id: kubernetes
        oidc-groups-claim: groups
        oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
        oidc-username-claim: email
...

הגדרת אישור פרוקסי

אתה יכול להשתמש ב-keycloak gatekeeper כדי להגן על יישום האינטרנט שלך. בנוסף לעובדה שפרוקסי הפוך זה יאשר את המשתמש לפני הצגת העמוד, הוא גם יעביר מידע עליך ליישום הקצה בכותרות. לפיכך, אם האפליקציה שלך תומכת ב-OpenID, המשתמש מורשה מיד. שקול את הדוגמה של Kubernetes Dashboard

התקנת לוח המחוונים של Kubernetes

helm install stable/kubernetes-dashboard --name dashboard -f values_dashboard.yaml

values_dashboard.yaml

enableInsecureLogin: true
service:
  externalPort: 80
rbac:
  clusterAdminRole: true
  create: true
serviceAccount:
  create: true
  name: 'dashboard-test'

הגדרת זכויות גישה:

בואו ניצור ClusterRoleBinding שיעניק זכויות אדמין לאשכול (ClusterRole cluster-admin סטנדרטי) למשתמשים בקבוצת DataOPS.

kubectl apply -f rbac.yaml

rbac.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: dataops_group
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: DataOPS

התקן keycloak gatekeeper:

helm repo add gabibbo97 https://gabibbo97.github.io/charts/
helm repo update
helm install gabibbo97/keycloak-gatekeeper --version 2.1.0 --name keycloak-gatekeeper -f values_proxy.yaml

values_proxy.yaml

# Включаем ingress
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
  path: /
  hosts:
    - kubernetes-dashboard.example.org
  tls:
   - secretName: tls-keycloak
     hosts:
       - kubernetes-dashboard.example.org

# Говорим где мы будем авторизовываться у OIDC провайдера
discoveryURL: "https://keycloak.example.org/auth/realms/kubernetes"
# Имя клиента которого мы создали в Keycloak
ClientID: "kubernetes"
# Secret который я просил записать
ClientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# Куда перенаправить в случае успешной авторизации. Формат <SCHEMA>://<SERVICE_NAME>.><NAMESAPCE>.<CLUSTER_NAME>
upstreamURL: "http://dashboard-kubernetes-dashboard.default.svc.cluster.local"
# Пропускаем проверку сертификата, если у нас самоподписанный
skipOpenidProviderTlsVerify: true
# Настройка прав доступа, пускаем на все path если мы в группе DataOPS
rules:
  - "uri=/*|groups=DataOPS"

אחרי זה, כשאתה מנסה ללכת ל kubernetes-dashboard.example.org, נפנה אל Keycloak ובמקרה של הרשאה מוצלחת נגיע ללוח המחוונים שכבר מחובר.

התקנת מסלול

מטעמי נוחות, ניתן להוסיף gangway שייצור קובץ הגדרות עבור kubectl, בעזרתו ניכנס ל-Kubernetes תחת המשתמש שלנו.

helm install --name gangway stable/gangway -f values_gangway.yaml

values_gangway.yaml

gangway:
  # Произвольное имя кластера
  clusterName: "my-k8s"
  # Где у нас OIDC провайдер
  authorizeURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/auth"
  tokenURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/token"
  audience: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/userinfo"
  # Теоритически сюда можно добавить groups которые мы замапили
  scopes: ["openid", "profile", "email", "offline_access"]
  redirectURL: "https://gangway.example.org/callback"
  # Имя клиента
  clientID: "kubernetes"
  # Секрет
  clientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
  # Если оставить дефолтное значние, то за имя пользователя будет братья <b>Frist name</b> <b>Second name</b>, а при "sub" его логин
  usernameClaim: "sub"
  # Доменное имя или IP адресс API сервера
  apiServerURL: "https://192.168.99.111:8443"

# Включаем Ingress
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/proxy-buffer-size: "64k"
  path: /
  hosts:
  - gangway.example.org
  tls:
  - secretName: tls-keycloak
    hosts:
      - gangway.example.org

# Если используем самоподписанный сертификат, то его(открытый корневой сертификат) надо указать.
trustedCACert: |-
 -----BEGIN CERTIFICATE-----
 MIIDVzCCAj+gAwIBAgIBATANBgkqhkiG9w0BAQsFADA1MQswCQYDVQQGEwJVUzEQMA4GA1UEChMHRGF0YU9QUzEUMBIGA1UEAxMLbXkgcm9vdCBrZXkwHhcNMjAwMjE0MDkxODAwWhcNMzAwMjE0MDkxODAwWjA1MQswCQYDVQQGEwJVUzEQMA4GA1UEChMHRGF0YU9QUzEUMBIGA1UEAxMLbXkgcm9vdCBrZXkwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDyP749PqqIRwNSqaK6qr0Zsi03G4PTCUlgaYTPZuMrwUVPK8xX2dWWs9MPRMOdXpgr8aSTZnVfmelIlVz4D7o2vK5rfmAe9GPcK0WbwKwXyhFU0flS9sU/g46ogHFrk03SZxQAeJhMLfEmAJm8LF5HghtGDs3t4uwGsB95o+lqPLiBvxRB8ZS3jSpYpvPgXAuZWKdZUQ3UUZf0X3hGLp7uIcIwJ7i4MduOGaQEO4cePeEJy9aDAO6qV78YmHbyh9kaW+1DL/Sgq8NmTgHGV6UOnAPKHTnMKXl6KkyUz8uLBGIdVhPxrlzG1EzXresJbJenSZ+FZqm3oLqZbw54Yp5hAgMBAAGjcjBwMA8GA1UdEwEB/wQFMAMBAf8wHQYDVR0OBBYEFHISTOU/6BQqqnOZj+1xJfxpjiG0MAsGA1UdDwQEAwIBBjARBglghkgBhvhCAQEEBAMCAAcwHgYJYIZIAYb4QgENBBEWD3hjYSBjZXJ0aWZpY2F0ZTANBgkqhkiG9w0BAQsFAAOCAQEAj7HC8ObibwOLT4ZYmISJZwub9lcE0AZ5cWkPW39j/syhdbbqjK/6jy2D3WUEbR+s1Vson5Ov7JhN5In2yfZ/ByDvBnoj7CP8Q/ZMjTJgwN7j0rgmEb3CTZvnDPAz8Ijw3FP0cjxfoZ1Z0V2F44Ry7gtLJWr06+MztXVyto3aIz1/XbMQnXYlzc3c3B5yUQIy44Ce5aLRVsAjmXNqVRmDJ2QPNLicvrhnUJsO0zFWI+zZ2hc4Ge1RotCrjfOc9hQY63jZJ17myCZ6QCD7yzMzAob4vrgmkD4q7tpGrhPY/gDcE+lUNhC7DO3l0oPy2wsnT2TEn87eyWmDiTFG9zWDew==
 -----END CERTIFICATE-----

נראה ככה. מאפשר לך להוריד מיד את קובץ התצורה וליצור אותו באמצעות סט פקודות:

מקור: www.habr.com