如果您的组织使用 LDAP 进行用户身份验证,则可以配置 Rancher 与 OpenLDAP 服务器通信以对用户进行身份验证。这使 Rancher 管理员可以对外部用户系统中的用户和组进行集群和项目的访问控制,同时允许最终用户在登录 Rancher UI 时使用其 LDAP 凭据进行身份验证。

必须为 Rancher 配置 LDAP 绑定帐户(即服务帐户),以搜索和检索与应具有访问权限的用户和组有关的 LDAP 条目。建议不要为此目的使用管理员帐户或个人帐户,而应在 OpenLDAP 中创建一个专用帐户,该帐户对配置的 Search Base 下的用户和组具有只读访问权限(请参见下文)。

配置 OpenLDAP 服务器,组和用户的设置。有关填写每个字段的帮助,请参阅。

  1. 使用初始本地帐户登录 Rancher UI
  2. 全局视图中,导航至安全 > 认证

完成配置后,继续测试与 OpenLDAP 服务器的连接。如果测试成功,则表明启用了 OpenLDAP 身份验证。

  1. 输入应该映射到本地主体帐户的 OpenLDAP 帐户的用户名密码
  2. 单击启用 OpenLDAP 认证,以测试 OpenLDAP 连接并完成设置。

结果:

  • 与输入的凭证有关的 LDAP 用户被映射到本地主体(系统管理员)帐户。

如果在测试与 OpenLDAP 服务器的连接时遇到问题,请首先仔细检查为服务帐户输入的凭据以及 Search Base 配置。您也可以检查 Rancher 日志以帮助查明问题原因。debug 日志可能包含有关该错误的更多详细信息。请参阅本文档中的如何开启 debug 级别日志