配置 FreeIPA

如果你的组织使用 FreeIPA 进行用户身份验证,你可以通过配置 Rancher 来允许你的用户使用 FreeIPA 凭证登录。

配置 FreeIPA - 图1先决条件:

  1. 使用分配了 administrator 角色(即 本地主体)的本地用户登录到 Rancher。

  2. 在左上角,单击 ☰ > 用户 & 认证

  3. 在左侧导航栏,单击认证

  4. 单击 FreeIPA

  5. 填写配置 FreeIPA 服务器表单,

    你可能需要登录到域控制器,来查找表单中请求的信息。

    配置 FreeIPA - 图2使用 TLS?

    如果证书是自签名,或者不是来自公认的证书颁发机构的,请确保提供完整的证书链。Rancher 需要该链来验证服务器的证书。

    配置 FreeIPA - 图3用户搜索库 vs. 组搜索库

    搜索库使 Rancher 可以搜索 FreeIPA 中的用户和组。这些字段仅用于搜索库,不适用于搜索筛选器。

    • 如果你的用户和组位于同一搜索库中,则仅填写用户搜索库。
    • 如果你的组位于其他搜索库中,则可以选择填写组搜索库。该字段专用于搜索组,但不是必需的。
  6. 如果你的 FreeIPA 不同于标准的 AD Schema,则必须完成自定义 Schema 部分实现匹配。否则,调过此步骤。

    配置 FreeIPA - 图4搜索属性

    搜索属性字段的默认值为三个特定值:uid|sn|givenName。配置 FreeIPA 后,当用户输入文本以添加用户或组时,Rancher 会自动查询 FreeIPA 服务器,并尝试按用户 ID,姓氏或名字来匹配字段。Rancher 专门搜索以在搜索字段中输入的文本开头的用户/组。

    默认字段值为 uid|sn|givenName,但是你可以将此字段配置为这些字段的子集。管道符 (|) 用于分隔各个字段。

    • uid:用户 ID
    • sn:姓
    • givenName:名

    Rancher 使用此搜索属性为用户和组创建搜索筛选器,但是你不能在此字段中添加自己的搜索筛选器。

  7. Authenticate with FreeIPA 中输入你的 FreeIPA 用户名和密码,确认已为 Rancher 配置 FreeIPA 身份验证。

  8. 点击启用

结果

  • FreeIPA 验证配置成功。
  • 你将使用你的 FreeIPA 账号(即 外部主体)登录到 Rancher。