מיר פאַסטן LDAP דערלויבעניש צו Kubernetes

א קורץ טוטאָריאַל וועגן ווי איר קענען נוצן Keycloak צו פאַרבינדן Kubernetes צו דיין LDAP סערווער און קאַנפיגיער די אַרייַנפיר פון יוזערז און גרופּעס. דאָס וועט לאָזן איר צו קאַנפיגיער RBAC פֿאַר דיין יוזערז און נוצן אַוט-פּראָקסי צו באַשיצן Kubernetes דאַשבאָרד און אנדערע אַפּלאַקיישאַנז וואָס קענען נישט אָטענטאַקייט זיך.

Keycloak ינסטאַלירונג

זאל ס יבערנעמען אַז איר שוין האָבן אַ LDAP סערווער. דאָס קען זיין Active Directory, FreeIPA, OpenLDAP אָדער עפּעס אַנדערש. אויב איר טאָן ניט האָבן אַ LDAP סערווער, אין פּרינציפּ איר קענען שאַפֿן יוזערז גלייַך אין די Keycloak צובינד, אָדער נוצן עפנטלעך אָידק פּראַוויידערז (Google, Github, Gitlab), דער רעזולטאַט וועט זיין כּמעט די זעלבע.

קודם כל לאמיר אינסטאלירן Keycloak אליין, די אינסטאלאציע קען מען דורכפירען סעפּעראט אדער גלייך אין א Kubernetes קנויל, כסדר, אויב איר האט עטליכע Kubernetes קלאסטערז, וואלט געווען גרינגער דאס צו אינסטאלירן באזונדער. אויף די אנדערע האַנט איר קענען שטענדיק נוצן באַאַמטער העלם טשאַרט און ינסטאַלירן עס גלייך אין דיין קנויל.

צו קראָם Keycloak דאַטן איר דאַרפֿן אַ דאַטאַבייס. פעליקייַט איז h2 (אַלע דאַטן זענען סטאָרד לאָוקאַלי), אָבער עס איז אויך מעגלעך צו נוצן postgres, mysql אָדער mariadb.
אויב איר נאָך באַשליסן צו ינסטאַלירן Keycloak סעפּעראַטלי, איר וועט געפֿינען מער דיטיילד ינסטראַקשאַנז אין באַאַמטער דאַקיומענטיישאַן.

סעטאַפּ פון פעדעריישאַן

ערשטער פון אַלע, לאָמיר מאַכן אַ נייַ מעלוכע. מעלוכע איז דער פּלאַץ פון אונדזער אַפּלאַקיישאַן. יעדער אַפּלאַקיישאַן קענען האָבן זיין אייגענע מעלוכע מיט פאַרשידענע ניצערס און דערלויבעניש סעטטינגס. די האר מעלוכע איז געניצט דורך Keycloak זיך און עס איז פאַלש צו נוצן עס פֿאַר עפּעס אַנדערש.

דריקט דאָ לייג מעלוכע

בריירע
ווערט

נאָמען
kubernetes

אַרויסווייַזן נאָמען
Kubernetes

HTML ווייַז נאָמען
<img src="https://kubernetes.io/images/nav_logo.svg" width="400" >

Kubernetes דורך פעליקייַט טשעקס צי דער באַניצער ס E- בריוו איז באשטעטיקט אָדער נישט. זינט מיר נוצן אונדזער אייגענע LDAP סערווער, דעם טשעק וועט כּמעט שטענדיק צוריקקומען false. לאָמיר דיסייבאַל די פאַרטרעטונג פון דעם אָפּציע אין Kubernetes:

קליענט סקאָפּעס -> בליצפּאָסט -> מאַפּפּערס -> Email וועראַפייד (מעקן)

איצט לאָמיר שטעלן די פעדעריישאַן; צו טאָן דאָס, גיין צו:

באַניצער פעדעריישאַן -> צוגעבן שפּייַזער… -> ldap

דאָ ס אַ ביישפּיל פון סעטטינגס פֿאַר FreeIPA:

בריירע
ווערט

קאַנסאָול ווייַז נאָמען
freeipa.example.org

פאַרקויפער
Red Hat Directory Server

UUID LDAP אַטריביוט
ipauniqueid

פֿאַרבינדונג URL
ldaps://freeipa.example.org

יוזערז דן
cn=users,cn=accounts,dc=example,dc=org

בינדן דן
uid=keycloak-svc,cn=users,cn=accounts,dc=example,dc=org

בינדן קראַדענטשאַל
<password>

לאָזן Kerberos אָטענטאַקיישאַן:
on

Kerberos מעלוכע:
EXAMPLE.ORG

סערווירער הויפּט:
HTTP/[email protected]

KeyTab:
/etc/krb5.keytab

באַניצער keycloak-svc דאַרפֿן צו זיין באשאפן אין שטייַגן אויף אונדזער LDAP סערווער.

אין דעם פאַל פון אַקטיוו Directory, איר נאָר דאַרפֿן צו סעלעקטירן פאַרקויפער: אַקטיווע Directory און די נייטיק סעטטינגס וועט אויטאָמאַטיש אַרייַן די פאָרעם.

דריקט דאָ שפּאָרן

איצט לאמיר גיין ווייטער:

באַניצער פעדעריישאַן -> freeipa.example.org -> מאַפּפּערס -> ערשטע נאמען

בריירע
ווערט

Ldap אַטריביוט
givenName

איצט לאָזן אונדז געבן גרופּע מאַפּינג:

באַניצער פעדעריישאַן -> freeipa.example.org -> מאַפּפּערס -> מאַכן

בריירע
ווערט

נאָמען
groups

טיפּ מאַפּער
group-ldap-mapper

LDAP גרופּעס דן
cn=groups,cn=accounts,dc=example,dc=org

באַניצער גרופּעס צוריקקריגן סטראַטעגיע
GET_GROUPS_FROM_USER_MEMBEROF_ATTRIBUTE

איצט אַז די פעדעריישאַן סעטאַפּ איז גאַנץ, לאָזן אונדז מאַך אויף צו באַשטעטיקן דעם קליענט.

קליענט סעטאַפּ

לאָמיר שאַפֿן אַ נייַע קליענט (אַ אַפּלאַקיישאַן וואָס וועט באַקומען ניצערס פֿון Keycloak). לאמיר ווייטער גיין:

קלייאַנץ -> מאַכן

בריירע
ווערט

קליענט שייַן
kubernetes

אַקסעס טיפּ
confidenrial

וואָרצל URL
http://kubernetes.example.org/

גילטיק רידערעקט URIs
http://kubernetes.example.org/*

אַדמין URL
http://kubernetes.example.org/

לאָמיר אויך מאַכן אַ פאַרנעם פֿאַר גרופּעס:

קליענט סקאָפּעס -> מאַכן

בריירע
ווערט

מוסטער
No template

נאָמען
groups

גאַנץ גרופּע דרך
false

און שטעלן אַ מאַפּפּער פֿאַר זיי:

קליענט סקאָפּעס -> גרופּעס -> מאַפּפּערס -> מאַכן

בריירע
ווערט

נאָמען
groups

מאַפּער טיפּ
Group membership

טאָקען פאָדערן נאָמען
groups

איצט מיר דאַרפֿן צו געבן מאַפּינג גרופּע אין אונדזער קליענט פאַרנעם:

קלייאַנץ -> kubernetes -> קליענט סקאָפּעס -> פעליקייַט קליענט סקאָפּעס

קלייַבן גרופּעס в בנימצא קליענט סקאָפּעס, דריקן לייג אויסגעקליבן

איצט לאָזן אונדז קאַנפיגיער די אָטענטאַקיישאַן פון אונדזער אַפּלאַקיישאַן, גיין צו:

קלייאַנץ -> kubernetes

בריירע
ווערט

דערלויבעניש ענייבאַלד
ON

לאמיר דריקן שפּאָרן און מיט דעם די קליענט סעטאַפּ איז געענדיקט, איצט אויף די קוויטל

קלייאַנץ -> kubernetes -> קרעדענטיאַלס

איר קענען באַקומען סאָד וואָס מיר וועלן נוצן ווייַטער.

קאַנפיגיערינג Kubernetes

באַשטעטיקן Kubernetes פֿאַר OIDC דערלויבעניש איז גאַנץ נישטיק און נישט זייער קאָמפּליצירט. כל איר דאַרפֿן צו טאָן איז שטעלן די CA באַווייַזן פון דיין אָידק סערווער /etc/kubernetes/pki/oidc-ca.pem און לייגן די נייטיק אָפּציעס פֿאַר kube-apiserver.
צו טאָן דאָס, דערהייַנטיקן /etc/kubernetes/manifests/kube-apiserver.yaml אויף אַלע דיין הארן:

...
spec:
  containers:
  - command:
    - kube-apiserver
...
    - --oidc-ca-file=/etc/kubernetes/pki/oidc-ca.pem
    - --oidc-client-id=kubernetes
    - --oidc-groups-claim=groups
    - --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
    - --oidc-username-claim=email
...

אויך דערהייַנטיקן די kubeadm קאַנפיגיעריישאַן אין דעם קנויל אַזוי נישט צו פאַרלירן די סעטטינגס ווען אַפּדייטינג:

kubectl edit -n kube-system configmaps kubeadm-config

...
data:
  ClusterConfiguration: |
    apiServer:
      extraArgs:
        oidc-ca-file: /etc/kubernetes/pki/oidc-ca.pem
        oidc-client-id: kubernetes
        oidc-groups-claim: groups
        oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
        oidc-username-claim: email
...

דאָס קאַמפּליץ די Kubernetes קאַנפיגיעריישאַן. איר קענען איבערחזרן די סטעפּס אַריבער אַלע דיין Kubernetes קלאַסטערז.

ערשט דערלויבעניש

נאָך די סטעפּס, איר וועט שוין האָבן אַ Kubernetes קנויל מיט קאַנפיגיערד אָידק דערלויבעניש. דער בלויז זאַך איז אַז דיין יוזערז האָבן נישט נאָך אַ קאַנפיגיערד קליענט אָדער זייער אייגענע kubeconfig. צו סאָלווע דעם פּראָבלעם, איר דאַרפֿן צו קאַנפיגיער אָטאַמאַטיק פאַרשפּרייטונג פון kubeconfig צו יוזערז נאָך אַ געראָטן דערלויבעניש.

צו טאָן דאָס, איר קענען נוצן ספּעציעל וועב אַפּלאַקיישאַנז וואָס לאָזן איר צו אָטענטאַקייט דעם באַניצער און דאַן אראפקאפיע די פאַרטיק kubeconfig. איינער פון די מערסט באַקוועם איז קובעראָס, עס אַלאַוז איר צו באַשרייַבן אַלע Kubernetes קלאַסטערז אין איין קאַנפיגיעריישאַן און לייכט באַשטימען צווישן זיי.

צו קאַנפיגיער Kuberos, נאָר באַשרייַבן די מוסטער פֿאַר kubeconfig און לויפן עס מיט די פאלגענדע פּאַראַמעטערס:

kuberos https://keycloak.example.org/auth/realms/kubernetes kubernetes /cfg/secret /cfg/template

פֿאַר מער דיטיילד אינפֿאָרמאַציע זען באַניץ אויף גיטהוב.

עס איז אויך מעגלעך צו נוצן kubelogin אויב איר ווילן צו אָטערייז גלייַך אויף די באַניצער 'ס קאָמפּיוטער. אין דעם פאַל, דער באַניצער וועט עפענען אַ בלעטערער מיט אַ דערלויבעניש פאָרעם אויף לאָקאַלהאָסט.

די ריזאַלטינג kubeconfig קענען זיין אָפּגעשטעלט אויף דער וועבזייטל jwt.io. נאָר נאָכמאַכן די ווערט users[].user.auth-provider.config.id-token פון דיין kubeconfig צו די פאָרעם אויף די וועבזייטל און גלייך באַקומען אַ טראַנסקריפּט.

באַשטעטיקן RBAC

ווען קאַנפיגיערינג RBAC, איר קענען אָפּשיקן צו ביידע די נאמען (פעלד name אין די jwt token), און פּער באַניצער גרופּע (פעלד groups אין jwt token). דאָ איז אַ ביישפּיל פון באַשטעטיקן רעכט פֿאַר אַ גרופּע kubernetes-default-namespace-admins:

kubernetes-default-namespace-admins.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: default-admins
  namespace: default
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: kubernetes-default-namespace-admins
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: default-admins
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: kubernetes-default-namespace-admins

מער ביישפילן פֿאַר RBAC קענען זיין געפֿונען אין באַאַמטער Kubernetes דאַקיומענטיישאַן

באַשטעטיקן אַוט-פּראָקסי

עס איז אַ ווונדערלעך פּרויעקט שליסלקלאָק-טויער-היטער, וואָס אַלאַוז איר צו באַשיצן קיין אַפּלאַקיישאַן דורך צושטעלן די באַניצער די פיייקייט צו אָטענטאַקייט צו די OIDC סערווער. איך וועט ווייַזן איר ווי צו קאַנפיגיער עס מיט Kubernetes Dashboard ווי אַ בייַשפּיל:

dashboard-proxy.yaml

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: kubernetes-dashboard-proxy
spec:
  replicas: 1
  template:
    metadata:
      labels:
        app: kubernetes-dashboard-proxy
    spec:
      containers:
      - args:
        - --listen=0.0.0.0:80
        - --discovery-url=https://keycloak.example.org/auth/realms/kubernetes
        - --client-id=kubernetes
        - --client-secret=<your-client-secret-here>
        - --redirection-url=https://kubernetes-dashboard.example.org
        - --enable-refresh-tokens=true
        - --encryption-key=ooTh6Chei1eefooyovai5ohwienuquoh
        - --upstream-url=https://kubernetes-dashboard.kube-system
        - --resources=uri=/*
        image: keycloak/keycloak-gatekeeper
        name: kubernetes-dashboard-proxy
        ports:
        - containerPort: 80
          livenessProbe:
            httpGet:
              path: /oauth/health
              port: 80
            initialDelaySeconds: 3
            timeoutSeconds: 2
          readinessProbe:
            httpGet:
              path: /oauth/health
              port: 80
            initialDelaySeconds: 3
            timeoutSeconds: 2
---
apiVersion: v1
kind: Service
metadata:
  name: kubernetes-dashboard-proxy
spec:
  ports:
  - port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: kubernetes-dashboard-proxy
  type: ClusterIP

מקור: www.habr.com