🥇Додајемо АцтивеДирецтори овлашћење за Кубернетес користећи Кеицлоак

Овај чланак је написан са циљем да прошири већ постојећи, али говори о карактеристикама везе посебно са Мицрософт АцтивеДирецтори, а такође га допуњује.

У овом чланку ћу вам рећи како да инсталирате и конфигуришете:

Кеицлоак је пројекат отвореног кода. Што обезбеђује једну улазну тачку за апликације. Ради са многим протоколима, укључујући ЛДАП и ОпенИД, који нас занимају.
Кеицлоак гатекеепер — обрнути прокси апликација која вам омогућава да интегришете ауторизацију преко Кеицлоак-а.
Гангваи — апликација која генерише конфигурацију за кубецтл са којом се можете пријавити преко ОпенИД-а и повезати се на Кубернетес АПИ.

Како дозволе функционишу у Кубернетесу.

Можемо да управљамо правима корисника/групе користећи РБАЦ, гомила чланака је већ направљена о томе, нећу се детаљније задржавати на томе. Проблем је у томе што можете да користите РБАЦ да ограничите корисничка права, али Кубернетес не зна ништа о корисницима. Испоставило се да нам је потребан механизам испоруке корисника у Кубернетесу. Да бисмо то урадили, додаћемо провајдера у Кубернтес ОпенИД, што ће указати да такав корисник заиста постоји, а сам Кубернетес ће му дати права.

Обука

Требаће вам Кубернетес кластер или миникубе
active Дирецтори
Домени:
кеицлоак.екампле.орг
кубернетес-дасхбоард.екампле.орг
гангваи.екампле.орг
Сертификат за домене или самопотписани сертификат

Нећу улазити у детаље о томе како да креирате самопотписани сертификат; потребно је да креирате 2 сертификата, ово је основни (Цертифицатион Аутхорити) и џокер знак клијента за *.екампле.орг домен

Након што примите/испишете сертификате, морате да додате сертификат клијента у Кубернетес; да бисте то урадили, креирајте тајну за њега:

kubectl create secret tls tls-keycloak --cert=example.org.crt --key=example.org.pem

Затим ћемо га користити за наш Ингресс контролер

Инсталирање Кеицлоак-а

Одлучио сам да је најлакши начин да користим готова решења за ово, односно кормиларнице.

Инсталирајте спремиште и ажурирајте га:

helm repo add codecentric https://codecentric.github.io/helm-charts
helm repo update

Направите кеицлоак.имл датотеку са следећим садржајем:

кеицлоак.имл

keycloak:
  # Имя администратора
  username: "test_admin"
  # Пароль администратор  
  password: "admin"
  # Эти флаги нужны что бы позволить загружать в Keycloak скрипты прямо через web морду. Это нам 
  понадобиться что бы починить один баг, о котором ниже.
  extraArgs: "-Dkeycloak.profile.feature.script=enabled -Dkeycloak.profile.feature.upload_scripts=enabled" 
  # Включаем ingress, указываем имя хоста и сертификат который мы предварительно сохранили в secrets
  ingress:
    enabled: true 
    path: /
    annotations:
      kubernetes.io/ingress.class: nginx
      ingress.kubernetes.io/affinity: cookie
    hosts:
      - keycloak.example.org
    tls:
    - hosts:
        - keycloak.example.org
      secretName: tls-keycloak
  # Keycloak для своей работы требует базу данных, в тестовых целях я разворачиваю Postgresql прямо в Kuberntes, в продакшене так лучше не делать!
  persistence:
    deployPostgres: true
    dbVendor: postgres

postgresql:
  postgresUser: keycloak
  postgresPassword: ""
  postgresDatabase: keycloak
  persistence:
    enabled: true

Оснивање федерације

Затим идите на веб интерфејс кеицлоак.екампле.орг

У левом углу кликните Додајте област

Кључ
вредност

Име
кубернетес

Показати име
Кубернетес

Онемогућите проверу корисничке потврде е-поште:
Опсези клијента —> Е-пошта —> Мапери —> Верификована е-пошта (Избриши)

Постављамо федерацију за увоз корисника из АцтивеДирецтори-а, оставићу слике испод, мислим да ће бити јасније.

Корисничка федерација —> Додај провајдера... —> лдап

Оснивање федерације

Ако је све у реду, онда након притиска на дугме Синхронизујте све кориснике Видећете поруку која указује на успешан увоз корисника.

Затим морамо мапирати наше групе

Корисничка федерација -> лдап_лоцалхост -> Мапери -> Креирај

Креирање мапера

Подешавање клијента

Морате да креирате клијента, у смислу Кеицлоак-а, ово је апликација коју ће он овластити. На снимку екрана ћу истакнути важне тачке црвеном бојом.

Клијенти -> Креирај

Подешавање клијента

Хајде да направимо сцоупе за групе:

Опсег клијента -> Креирај

Креирање опсега

И подесите мапер за њих:

Обим клијената -> групе -> Мапери -> Креирај

Маппер

Додајемо мапирање наших група у подразумеване опсеге клијената:

Клијенти -> кубернетес -> Обим клијента -> Подразумевани опсег клијента
одабрати групе в Доступни опсеги клијената, притисните Додај изабрано

Добијамо тајну (и записујемо је негде) коју ћемо користити за ауторизацију у Кеицлоак-у:

Клијенти -> кубернетес -> Акредитиви -> Тајна
Овим је подешавање завршено, али сам имао грешку када сам, након успешне ауторизације, добио грешку 403. Извештај о грешци.

Поправи:

Опсег клијента -> улоге -> Мапери -> Креирај

Маппер

Код скрипте

// add current client-id to token audience
token.addAudience(token.getIssuedFor());

// return token issuer as dummy result assigned to iss again
token.getIssuer();

Конфигурисање Кубернетеса

Морамо да назначимо где се налази наш роот сертификат са сајта и где се налази ОИДЦ провајдер.
Да бисте то урадили, уредите датотеку /етц/кубернетес/манифестс/кубе-аписервер.иамл

кубе-аписервер.иамл


...
spec:
  containers:
  - command:
    - kube-apiserver
...
    - --oidc-ca-file=/var/lib/minikube/certs/My_Root.crt
    - --oidc-client-id=kubernetes
    - --oidc-groups-claim=groups
    - --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
    - --oidc-username-claim=email
...

Ажурирајте кубеадм конфигурацију у кластеру:

кубеадм цонфиг

kubectl edit -n kube-system configmaps kubeadm-config


...
data:
  ClusterConfiguration: |
    apiServer:
      extraArgs:
        oidc-ca-file: /var/lib/minikube/certs/My_Root.crt
        oidc-client-id: kubernetes
        oidc-groups-claim: groups
        oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
        oidc-username-claim: email
...

Подешавање аутх-проксија

Да бисте заштитили своју веб апликацију, можете користити кеицлоак гатекеепер. Поред чињенице да ће овај обрнути прокси овластити корисника пре него што прикаже страницу, он ће такође пренети информације о вама у заглављима до крајње апликације. Дакле, ако ваша апликација подржава ОпенИД, корисник је одмах ауторизован. Погледајмо пример Кубернетес Дасхбоард-а

Инсталирање Кубернетес контролне табле


helm install stable/kubernetes-dashboard --name dashboard -f values_dashboard.yaml

валуес_дасхбоард.иамл

enableInsecureLogin: true
service:
  externalPort: 80
rbac:
  clusterAdminRole: true
  create: true
serviceAccount:
  create: true
  name: 'dashboard-test'

Подешавање права приступа:

Хајде да направимо ЦлустерРолеБиндинг који ће дати администраторска права кластера (стандардни ЦлустерРоле цлустер-админ) за кориснике у групи ДатаОПС.


kubectl apply -f rbac.yaml

рбац.иамл


apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: dataops_group
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: DataOPS

Инсталирање кеицлоак гатекеепер-а:


helm repo add gabibbo97 https://gabibbo97.github.io/charts/
helm repo update
helm install gabibbo97/keycloak-gatekeeper --version 2.1.0 --name keycloak-gatekeeper -f values_proxy.yaml

валуес_проки.иамл



# Включаем ingress
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
  path: /
  hosts:
    - kubernetes-dashboard.example.org
  tls:
   - secretName: tls-keycloak
     hosts:
       - kubernetes-dashboard.example.org

# Говорим где мы будем авторизовываться у OIDC провайдера
discoveryURL: "https://keycloak.example.org/auth/realms/kubernetes"
# Имя клиента которого мы создали в Keycloak
ClientID: "kubernetes"
# Secret который я просил записать
ClientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# Куда перенаправить в случае успешной авторизации. Формат <SCHEMA>://<SERVICE_NAME>.><NAMESAPCE>.<CLUSTER_NAME>
upstreamURL: "http://dashboard-kubernetes-dashboard.default.svc.cluster.local"
# Пропускаем проверку сертификата, если у нас самоподписанный
skipOpenidProviderTlsVerify: true
# Настройка прав доступа, пускаем на все path если мы в группе DataOPS
rules:
  - "uri=/*|groups=DataOPS"

Након тога, када покушате да се пријавите на кубернетес-дасхбоард.екампле.орг, доћи ће до преусмеравања на Кеицлоак и ако је ауторизација успешна, бићемо одведени на контролну таблу већ пријављени.

Инсталација пролаза

Ради практичности, можете додати пролаз који ће генерисати конфигурациони фајл за кубецтл, уз помоћ којег ћемо ући у Кубернетес под нашим корисником.


helm install --name gangway stable/gangway -f values_gangway.yaml

валуес_гангваи.иамл


gangway:
  # Произвольное имя кластера
  clusterName: "my-k8s"
  # Где у нас OIDC провайдер
  authorizeURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/auth"
  tokenURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/token"
  audience: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/userinfo"
  # Теоритически сюда можно добавить groups которые мы замапили
  scopes: ["openid", "profile", "email", "offline_access"]
  redirectURL: "https://gangway.example.org/callback"
  # Имя клиента
  clientID: "kubernetes"
  # Секрет
  clientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
  # Если оставить дефолтное значние, то за имя пользователя будет братья <b>Frist name</b> <b>Second name</b>, а при "sub" его логин
  usernameClaim: "sub"
  # Доменное имя или IP адресс API сервера
  apiServerURL: "https://192.168.99.111:8443"

# Включаем Ingress
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/proxy-buffer-size: "64k"
  path: /
  hosts:
  - gangway.example.org
  tls:
  - secretName: tls-keycloak
    hosts:
      - gangway.example.org

# Если используем самоподписанный сертификат, то его(открытый корневой сертификат) надо указать.
trustedCACert: |-
 -----BEGIN CERTIFICATE-----
 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
 -----END CERTIFICATE-----

Изгледа отприлике овако. Омогућава вам да одмах преузмете конфигурациону датотеку и генеришете је помоћу скупа команди:

Извор: ввв.хабр.цом

Ми причвршћујемо АцтивеДирецтори овлашћење за Кубернетес користећи Кеицлоак