配置 FreeIPA
如果你的组织使用 FreeIPA 进行用户身份验证,你可以通过配置 Rancher 来允许你的用户使用 FreeIPA 凭证登录。
先决条件:
|
-
使用分配了
administrator
角色(即 本地主体)的本地用户登录到 Rancher。 -
在左上角,单击 ☰ > 用户 & 认证。
-
在左侧导航栏,单击认证。
-
单击 FreeIPA。
-
填写配置 FreeIPA 服务器表单,
你可能需要登录到域控制器,来查找表单中请求的信息。
使用 TLS?如果证书是自签名,或者不是来自公认的证书颁发机构的,请确保提供完整的证书链。Rancher 需要该链来验证服务器的证书。
用户搜索库 vs. 组搜索库搜索库使 Rancher 可以搜索 FreeIPA 中的用户和组。这些字段仅用于搜索库,不适用于搜索筛选器。
-
如果你的用户和组位于同一搜索库中,则仅填写用户搜索库。
-
如果你的组位于其他搜索库中,则可以选择填写组搜索库。该字段专用于搜索组,但不是必需的。
-
-
如果你的 FreeIPA 不同于标准的 AD Schema,则必须完成自定义 Schema 部分实现匹配。否则,调过此步骤。
搜索属性搜索属性
字段的默认值为三个特定值:uid|sn|givenName
。配置 FreeIPA 后,当用户输入文本以添加用户或组时,Rancher 会自动查询 FreeIPA 服务器,并尝试按用户 ID,姓氏或名字来匹配字段。Rancher 专门搜索以在搜索字段中输入的文本开头的用户/组。默认字段值为
uid|sn|givenName
,但是你可以将此字段配置为这些字段的子集。管道符 (|
) 用于分隔各个字段。-
uid
:用户 ID -
sn
:姓 -
givenName
:名
Rancher 使用此搜索属性为用户和组创建搜索筛选器,但是你不能在此字段中添加自己的搜索筛选器。
-
-
在 Authenticate with FreeIPA 中输入你的 FreeIPA 用户名和密码,确认已为 Rancher 配置 FreeIPA 身份验证。
-
点击启用。
结果:
-
FreeIPA 验证配置成功。
-
你将使用你的 FreeIPA 账号(即 外部主体)登录到 Rancher。