हामी LDAP प्राधिकरणलाई Kubernetes लाई जोड्दछौं

तपाइँको LDAP सर्भरमा Kubernetes जडान गर्न र प्रयोगकर्ता र समूहहरूको आयात सेटअप गर्न Keycloak कसरी प्रयोग गर्ने भन्ने बारेमा एउटा सानो ट्यूटोरियल। यसले तपाइँलाई तपाइँका प्रयोगकर्ताहरूका लागि RBAC सेटअप गर्न र Kubernetes Dashboard र आफूलाई कसरी अधिकृत गर्ने भनेर थाहा नभएका अन्य अनुप्रयोगहरूलाई सुरक्षित गर्न प्रमाणीकरण-प्रोक्सी प्रयोग गर्न अनुमति दिनेछ।

कीक्लोक स्थापना

मानौं कि तपाईसँग पहिले नै LDAP सर्भर छ। यो सक्रिय निर्देशिका, FreeIPA, OpenLDAP, वा जे पनि हुन सक्छ। यदि तपाइँसँग LDAP सर्भर छैन भने, त्यसोभए सिद्धान्तमा तपाइँ प्रयोगकर्ताहरू सीधा Keycloak इन्टरफेसमा सिर्जना गर्न सक्नुहुन्छ, वा सार्वजनिक oidc प्रदायकहरू (Google, Github, Gitlab) प्रयोग गर्न सक्नुहुन्छ, परिणाम लगभग समान हुनेछ।

सबैभन्दा पहिले, किक्लोक आफैं स्थापना गरौं, स्थापना छुट्टै गर्न सकिन्छ, वा सिधै कुबर्नेट्स क्लस्टरमा, नियमको रूपमा, यदि तपाईंसँग धेरै कुबर्नेट्स क्लस्टरहरू छन् भने, यसलाई छुट्टै स्थापना गर्न सजिलो हुनेछ। अर्कोतर्फ, तपाईं सधैं प्रयोग गर्न सक्नुहुन्छ आधिकारिक हेल्म चार्ट र यसलाई सिधै आफ्नो क्लस्टरमा स्थापना गर्नुहोस्।

Keycloak डाटा भण्डारण गर्न, तपाईंलाई डाटाबेस चाहिन्छ। पूर्वनिर्धारित छ h2 (सबै डाटा स्थानीय रूपमा भण्डारण गरिएको छ), तर यो पनि प्रयोग गर्न सम्भव छ postgres, mysql वा mariadb.
यदि तपाइँ अझै पनि Keycloak छुट्टै स्थापना गर्ने निर्णय गर्नुहुन्छ भने, तपाइँ मा थप विस्तृत निर्देशनहरू पाउन सक्नुहुन्छ आधिकारिक दस्तावेज.

महासंघ स्थापना

सबैभन्दा पहिले, नयाँ क्षेत्र सिर्जना गरौं। क्षेत्र हाम्रो आवेदन को ठाउँ हो। प्रत्येक अनुप्रयोगको फरक प्रयोगकर्ताहरू र प्राधिकरण सेटिङहरूसँग आफ्नै दायरा हुन सक्छ। मास्टर क्षेत्र किक्लोक आफैले प्रयोग गरेको छ र यसलाई अरू केहिको लागि प्रयोग गर्नु गलत हो।

Push क्षेत्र थप्नुहोस्

विकल्प
मूल्य

नाम
kubernetes

प्रदर्शन नाम
Kubernetes

HTML प्रदर्शन नाम
<img src="https://kubernetes.io/images/nav_logo.svg" width="400" >

Kubernetes पूर्वनिर्धारित रूपमा प्रयोगकर्ताको इमेल पुष्टि भएको छ वा छैन जाँच गर्दछ। हामीले हाम्रो आफ्नै LDAP सर्भर प्रयोग गरिरहेको हुनाले, यो चेक लगभग सधैं फिर्ता हुनेछ false। Kubernetes मा यो सेटिङ को प्रतिनिधित्व असक्षम गरौं:

ग्राहक दायरा -> इमेल -> म्यापरहरू -> इमेल प्रमाणित (मेटाउन)

अब महासंघ स्थापना गरौं, यसको लागि हामी जान्छौं:

प्रयोगकर्ता महासंघ -> प्रदायक थप्नुहोस्... -> ldap

यहाँ FreeIPA को लागि एक उदाहरण सेटअप छ:

विकल्प
मूल्य

कन्सोल प्रदर्शन नाम
freeipa.example.org

विक्रेता
Red Hat Directory Server

UUID LDAP विशेषता
ipauniqueid

जडान URL
ldaps://freeipa.example.org

प्रयोगकर्ता DN
cn=users,cn=accounts,dc=example,dc=org

DN बाँध
uid=keycloak-svc,cn=users,cn=accounts,dc=example,dc=org

प्रमाणपत्र बाँध्नुहोस्
<password>

Kerberos प्रमाणीकरणलाई अनुमति दिनुहोस्:
on

कर्बेरोस क्षेत्र:
EXAMPLE.ORG

सर्भर प्रिन्सिपल:
HTTP/[email protected]

कुञ्जी ट्याब:
/etc/krb5.keytab

प्रयोगकर्ता keycloak-svc हाम्रो LDAP सर्भरमा अग्रिम सिर्जना गर्नुपर्छ।

सक्रिय निर्देशिका को मामला मा, बस चयन गर्नुहोस् विक्रेता: सक्रिय निर्देशिका र आवश्यक सेटिङहरू फारममा स्वचालित रूपमा सम्मिलित हुनेछन्।

Push बचत

अब अगाडि बढौं:

प्रयोगकर्ता महासंघ -> freeipa.example.org -> म्यापरहरू -> पहिलो नाम

विकल्प
मूल्य

Ldap विशेषताहरू
givenName

अब समूह म्यापिङ सक्षम गर्नुहोस्:

प्रयोगकर्ता महासंघ -> freeipa.example.org -> म्यापरहरू -> सिर्जना

विकल्प
मूल्य

नाम
groups

म्यापर प्रकार
group-ldap-mapper

LDAP समूह DN
cn=groups,cn=accounts,dc=example,dc=org

प्रयोगकर्ता समूह पुन: प्राप्ति रणनीति
GET_GROUPS_FROM_USER_MEMBEROF_ATTRIBUTE

यसले महासंघ सेटअप पूरा गर्दछ, ग्राहक सेटअप गर्न अगाडि बढौं।

ग्राहक सेटअप

एउटा नयाँ क्लाइन्ट सिर्जना गरौं (किक्लोकबाट प्रयोगकर्ताहरू प्राप्त गर्ने अनुप्रयोग)। जाऔं:

ग्राहकहरु -> सिर्जना

विकल्प
मूल्य

ग्राहक आईडी
kubernetes

पहुँच प्रकार
confidenrial

मूल युआरएल
http://kubernetes.example.org/

वैध रिडिरेक्ट URI हरू
http://kubernetes.example.org/*

व्यवस्थापक URL
http://kubernetes.example.org/

हामी समूहहरूको लागि एउटा दायरा पनि सिर्जना गर्नेछौं:

ग्राहक दायरा -> सिर्जना

विकल्प
मूल्य

टेम्पलेट
No template

नाम
groups

पूर्ण समूह मार्ग
false

र तिनीहरूका लागि म्यापर सेट अप गर्नुहोस्:

ग्राहक दायरा -> समूह -> म्यापरहरू -> सिर्जना

विकल्प
मूल्य

नाम
groups

म्यापर प्रकार
Group membership

टोकन दावी नाम
groups

अब हामीले हाम्रो ग्राहक दायरामा समूह म्यापिङ सक्षम गर्न आवश्यक छ:

ग्राहकहरु -> कुबेरनेट्स -> ग्राहक दायरा -> पूर्वनिर्धारित ग्राहक दायरा

छनौट गर्नुहोस् समूह в उपलब्ध ग्राहक दायराक्लिक गर्नुहोस् चयन गरिएको थप्नुहोस्

अब हाम्रो आवेदन को प्रमाणीकरण सेट अप गरौं, जानुहोस्:

ग्राहकहरु -> कुबेरनेट्स

विकल्प
मूल्य

प्राधिकरण सक्षम गरियो
ON

धकेलौं सुरक्षित र यसले क्लाइन्ट सेटअप पूरा गर्दछ, अब ट्याबमा

ग्राहकहरु -> कुबेरनेट्स -> प्रमाणपत्रहरू

तपाईं प्राप्त गर्न सक्नुहुन्छ गोप्य जुन हामी पछि प्रयोग गर्नेछौं।

Kubernetes कन्फिगर गर्दै

OIDC प्राधिकरणको लागि Kubernetes सेट अप गर्नु एकदम मामूली छ र केहि धेरै जटिल छैन। तपाईले गर्नु पर्ने भनेको तपाईको OIDC सर्भरको CA प्रमाणपत्र राख्नु हो /etc/kubernetes/pki/oidc-ca.pem र kube-apiserver को लागि आवश्यक विकल्पहरू थप्नुहोस्।
यो गर्न, अद्यावधिक गर्नुहोस् /etc/kubernetes/manifests/kube-apiserver.yaml तपाईंका सबै मालिकहरूमा:

...
spec:
  containers:
  - command:
    - kube-apiserver
...
    - --oidc-ca-file=/etc/kubernetes/pki/oidc-ca.pem
    - --oidc-client-id=kubernetes
    - --oidc-groups-claim=groups
    - --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
    - --oidc-username-claim=email
...

र क्लस्टरमा kubeadm कन्फिगरेसन पनि अद्यावधिक गर्नुहोस् ताकि अद्यावधिकको समयमा यी सेटिङहरू नगुमाउनुहोस्:

kubectl edit -n kube-system configmaps kubeadm-config

...
data:
  ClusterConfiguration: |
    apiServer:
      extraArgs:
        oidc-ca-file: /etc/kubernetes/pki/oidc-ca.pem
        oidc-client-id: kubernetes
        oidc-groups-claim: groups
        oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
        oidc-username-claim: email
...

यसले Kubernetes सेटअप पूरा गर्छ। तपाइँ तपाइँका सबै Kubernetes क्लस्टरहरूमा यी चरणहरू दोहोर्याउन सक्नुहुन्छ।

प्रारम्भिक प्राधिकरण

यी चरणहरू पछि, तपाईंसँग पहिले नै OIDC प्राधिकरण कन्फिगर गरिएको कुबर्नेट्स क्लस्टर हुनेछ। एक मात्र बिन्दु यो हो कि तपाइँका प्रयोगकर्ताहरूसँग अझै पनि ग्राहक कन्फिगर गरिएको छैन, साथै तिनीहरूको आफ्नै kubeconfig। यो समस्या समाधान गर्न, तपाईंले सफल प्राधिकरण पछि प्रयोगकर्ताहरूलाई kubeconfig को स्वचालित जारी कन्फिगर गर्न आवश्यक छ।

यो गर्नका लागि, तपाइँ विशेष वेब अनुप्रयोगहरू प्रयोग गर्न सक्नुहुन्छ जसले तपाइँलाई प्रयोगकर्तालाई प्रमाणीकरण गर्न र त्यसपछि समाप्त kubeconfig डाउनलोड गर्न अनुमति दिन्छ। सबैभन्दा सुविधाजनक मध्ये एक हो कुबेरोस, यसले तपाइँलाई एक कन्फिगरेसनमा सबै Kubernetes क्लस्टरहरू वर्णन गर्न र तिनीहरू बीच सजिलैसँग स्विच गर्न अनुमति दिन्छ।

Kuberos कन्फिगर गर्न, यो kubeconfig को लागि टेम्प्लेट वर्णन गर्न र निम्न प्यारामिटरहरू चलाउन पर्याप्त छ:

kuberos https://keycloak.example.org/auth/realms/kubernetes kubernetes /cfg/secret /cfg/template

थप विवरणहरूको लागि हेर्नुहोस् उपयोग Github मा।

यो पनि प्रयोग गर्न सम्भव छ kubelogin यदि तपाइँ सीधै प्रयोगकर्ताको कम्प्युटरमा अधिकृत गर्न चाहनुहुन्छ भने। यस अवस्थामा, प्रयोगकर्ताले स्थानीय होस्टमा प्राधिकरण फारमको साथ ब्राउजर खोल्नेछ।

परिणाम kubeconfig साइट मा जाँच गर्न सकिन्छ jwt.io। केवल मान प्रतिलिपि गर्नुहोस् users[].user.auth-provider.config.id-token तपाइँको kubeconfig बाट साइट मा एक फारम र ट्रान्सक्रिप्ट तुरुन्तै प्राप्त गर्नुहोस्।

RBAC सेटअप

RBAC कन्फिगर गर्दा, तपाइँ दुबै प्रयोगकर्ता नाम (फिल्ड name jwt टोकनमा) र प्रयोगकर्ताहरूको समूहको लागि (फिल्ड groups jwt टोकनमा)। यहाँ एउटा समूहको लागि अनुमति सेट गर्ने एउटा उदाहरण हो kubernetes-default-namespace-admins:

kubernetes-default-namespace-admins.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: default-admins
  namespace: default
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: kubernetes-default-namespace-admins
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: default-admins
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: kubernetes-default-namespace-admins

RBAC को लागि थप उदाहरणहरू फेला पार्न सकिन्छ आधिकारिक Kubernetes दस्तावेज

प्रमाणीकरण-प्रोक्सी सेट गर्दै

त्यहाँ एक अद्भुत परियोजना छ किक्लोक-गेटकीपर, जसले तपाईंलाई प्रयोगकर्तालाई OIDC सर्भरमा प्रमाणीकरण गर्न अनुमति दिएर कुनै पनि अनुप्रयोग सुरक्षित गर्न अनुमति दिन्छ। म तपाईंलाई उदाहरणको रूपमा Kubernetes Dashboard प्रयोग गरेर यसलाई कसरी सेटअप गर्न सक्नुहुन्छ भनेर देखाउनेछु:

dashboard-proxy.yaml

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: kubernetes-dashboard-proxy
spec:
  replicas: 1
  template:
    metadata:
      labels:
        app: kubernetes-dashboard-proxy
    spec:
      containers:
      - args:
        - --listen=0.0.0.0:80
        - --discovery-url=https://keycloak.example.org/auth/realms/kubernetes
        - --client-id=kubernetes
        - --client-secret=<your-client-secret-here>
        - --redirection-url=https://kubernetes-dashboard.example.org
        - --enable-refresh-tokens=true
        - --encryption-key=ooTh6Chei1eefooyovai5ohwienuquoh
        - --upstream-url=https://kubernetes-dashboard.kube-system
        - --resources=uri=/*
        image: keycloak/keycloak-gatekeeper
        name: kubernetes-dashboard-proxy
        ports:
        - containerPort: 80
          livenessProbe:
            httpGet:
              path: /oauth/health
              port: 80
            initialDelaySeconds: 3
            timeoutSeconds: 2
          readinessProbe:
            httpGet:
              path: /oauth/health
              port: 80
            initialDelaySeconds: 3
            timeoutSeconds: 2
---
apiVersion: v1
kind: Service
metadata:
  name: kubernetes-dashboard-proxy
spec:
  ports:
  - port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: kubernetes-dashboard-proxy
  type: ClusterIP

स्रोत: www.habr.com