Аутентификация кластера

Этот плагин обеспечивает независимую интеграцию аутентификации для сценариев отказа глобального кластера. При сбое глобального кластера пользователи могут по-прежнему войти через этот сервис для доступа и управления Kubernetes кластером, сохраняя права, соответствующие состоянию до сбоя глобального кластера (примечание: групповые права не поддерживаются).

Содержание

Обзор Основы Connector CR Интеграция с LDAP Конфигурация LDAP Применение LDAP-коннектора Интеграция с OIDC Конфигурация OIDC Применение OIDC-коннектора Использование AC CLI для подключения к ACP Предварительные требования Примеры команд Параметры команд

Обзор

Интеграция аутентификации использует Connector Custom Resources (CR) для настройки провайдеров идентификации OIDC или LDAP.

Основы Connector CR

CR Kind: Connector (apiVersion: dex.coreos.com/v1)
Namespace: cpaas-system
Формат конфигурации: поле config должно быть строкой JSON, закодированной в base64. Создайте конфигурацию в виде JSON-файла, затем закодируйте её с помощью base64 -w0 config.json (на macOS флаг -w0 можно опустить).

Шаблон Connector CR:

apiVersion: dex.coreos.com/v1
kind: Connector
metadata:
  name: <connector-name>
  namespace: cpaas-system
  labels:
    cpaas.io/idp.version: v2  # маркер версии коннектора
spec:
  type: <oidc|ldap>           # тип коннектора
  id: <connector-id>          # уникальный в платформе
  name: <display-name>        # отображается на экране входа
  config: <base64-encoded-connector-config-json>

Интеграция с LDAP

Конфигурация LDAP

Пример конфигурации LDAP-коннектора:

{
  "bindDN": "cn=Administrator,cn=Users,dc=example,dc=com",
  "bindPW": "<password>",
  "host": "ldap.example.com:389",
  "insecureNoSSL": true,
  "insecureSkipVerify": true,
  "startTLS": true,
  "userSearch": {
    "baseDN": "dc=example,dc=com",
    "filter": "(objectClass=organizationalPerson)",
    "idAttr": "distinguishedName",
    "nameAttr": "cn",
    "username": "cn",
    "emailAttr": "mail"
  }
}

Описание полей:

Поле	Описание	Обязательно	Примечания
`bindDN`	DN учетной записи для bind	Да	Требуется разрешение на поиск
`bindPW`	Пароль учетной записи bind	Да	Соответствует bindDN
`host`	Хост LDAP:порт	Да	389+StartTLS или 636 (LDAPS)
`insecureNoSSL`	Отключить SSL	Да	Установить в `true`
`startTLS`	Включить StartTLS	Да	Установить в `true`
`insecureSkipVerify`	Пропустить проверку TLS	Да	Установить в `true`
`userSearch.baseDN`	Базовый DN для поиска	Да	Корень каталога или организационный DN
`userSearch.filter`	Фильтр пользователей	Да	Например, `(objectClass=organizationalPerson)`
`userSearch.idAttr`	Атрибут уникального ID	Да	Например, `distinguishedName`
`userSearch.nameAttr`	Атрибут отображаемого имени	Да	Используется как идентификатор на стороне платформы
`userSearch.username`	Атрибут(ы) для логина	Да	Кандидаты через запятую
`userSearch.emailAttr`	Атрибут email	Нет	Пропустить, если в каталоге нет email

Применение LDAP-коннектора

Пошаговые инструкции:

# 1) Создать JSON-файл конфигурации
cat <<'EOF' > ldap-config.json
{
  "bindDN": "cn=Administrator,cn=Users,dc=example,dc=com",
  "bindPW": "<password>",
  "host": "ldap.example.com:389",
  "insecureNoSSL": true,
  "insecureSkipVerify": true,
  "startTLS": true,
  "userSearch": {
    "baseDN": "dc=example,dc=com",
    "filter": "(objectClass=organizationalPerson)",
    "idAttr": "distinguishedName",
    "nameAttr": "cn",
    "username": "cn",
    "emailAttr": "mail"
  }
}
EOF

# 2) Закодировать конфигурацию в base64
LDAP_B64=$(base64 -w0 ldap-config.json)

# 3) Создать Connector CR
cat <<EOF > ldap-connector.yaml
apiVersion: dex.coreos.com/v1
kind: Connector
metadata:
  name: ldap-sample
  namespace: cpaas-system
  labels:
    cpaas.io/idp.version: v2
spec:
  type: ldap
  id: ldap-sample
  name: LDAP Sample
  config: ${LDAP_B64}
EOF

# 4) Применить Connector
kubectl apply -f ldap-connector.yaml

Интеграция с OIDC

Конфигурация OIDC

Пример конфигурации OIDC-коннектора:

{
  "issuer": "https://idp.example.com/auth/realms/master",
  "issuerAlias": "",
  "clientID": "<client-id>",
  "clientSecret": "<client-secret>",
  "redirectURI": "https://<clusterEndpoint>:11780/dex/callback",
  "scopes": ["openid", "profile", "email", "groups"],
  "claimMapping": {
    "email": "email",
    "preferred_username": "preferred_username",
    "groups": "groups"
  },
  "getUserInfo": true,
  "insecureSkipVerify": true
}

Описание полей:

Поле	Описание	Обязательно	Примечания
`issuer`	Issuer upstream IdP	Да	Должно совпадать с метаданными IdP
`clientID`	OIDC client ID	Да	Создан в IdP
`clientSecret`	OIDC client secret	Да	Соответствует clientID
`redirectURI`	Dex callback	Да	Должно совпадать с регистрацией в IdP. Пример: `https://<clusterEndpoint>:11780/dex/callback`
`scopes`	OIDC scopes	Да	Рекомендуется: `openid`, `profile`, `email`, `groups`
`claimMapping.email`	Отображение email	Да	Отображение на upstream claim
`claimMapping.preferred_username`	Отображение имени пользователя	Нет	Отображение на upstream claim
`claimMapping.groups`	Отображение групп	Нет	Если upstream предоставляет группы
`getUserInfo`	Вызов endpoint UserInfo	Нет	Установить в `true`, если в ID Token отсутствуют поля
`insecureSkipVerify`	Пропуск проверки TLS	Да	Установить в `true` (согласно текущей конфигурации)

Применение OIDC-коннектора

Пошаговые инструкции:

# 1) Создать JSON-файл конфигурации
cat <<'EOF' > oidc-config.json
{
  "issuer": "https://idp.example.com/auth/realms/master",
  "issuerAlias": "",
  "clientID": "<client-id>",
  "clientSecret": "<client-secret>",
  "redirectURI": "https://<clusterEndpoint>:11780/dex/callback",
  "scopes": ["openid", "profile", "email", "groups"],
  "claimMapping": {
    "email": "email",
    "preferred_username": "preferred_username",
    "groups": "groups"
  },
  "getUserInfo": true,
  "insecureSkipVerify": true
}
EOF

# 2) Закодировать конфигурацию в base64
OIDC_B64=$(base64 -w0 oidc-config.json)

# 3) Создать Connector CR
cat <<EOF > oidc-connector.yaml
apiVersion: dex.coreos.com/v1
kind: Connector
metadata:
  name: oidc-sample
  namespace: cpaas-system
  labels:
    cpaas.io/idp.version: v2
spec:
  type: oidc
  id: oidc-sample
  name: OIDC Sample
  config: ${OIDC_B64}
EOF

# 4) Применить Connector
kubectl apply -f oidc-connector.yaml

INFO

Важные замечания:

Размещайте Connector CR в namespace cpaas-system для соответствия настройкам глобального кластера.
Кодирование base64: в Linux используйте base64 -w0 config.json, на macOS флаг -w0 можно опустить.

Использование AC CLI для подключения к ACP

В этом разделе описывается, как использовать AC CLI для аутентификации и подключения к ACP (Application Control Plane) с использованием настроенных провайдеров идентификации.

Предварительные требования

Перед использованием AC CLI для подключения убедитесь в следующем:

AC CLI установлен (версия >= 1.1)
Кластер доступен по сети
Внешний адрес доступа к сервису аутентификации плагина: https://<clusterEndpoint>:<DefaultPort> (по умолчанию DefaultPort равен 11780)
Коннектор настроен для целевого IDP и имя Connector CR подтверждено

Проверка конфигурации Connector:

kubectl get connector -n cpaas-system

Пример вывода:

NAME        AGE
ldap-test   7m53s
oidc-test   6m27s

Примеры команд

Вход с использованием LDAP-провайдера:

ac login https://<clusterEndpoint>:11780 \
  --idp <ldap-connector-name> \
  --workload \
  --auth-type ldap \
  --username '<username>' \
  --password '<password>'

Вход с использованием OIDC-провайдера:

ac login https://<clusterEndpoint>:11780 \
  --idp <oidc-connector-name> \
  --workload \
  --auth-type oidc

TIP

Для аутентификации через OIDC, если требуется интерактивный вход, следуйте подсказкам CLI для завершения процесса входа.

Параметры команд

Параметр	Описание	Обязательно	Примечания
`--idp`	Имя Connector	Да	Имя Connector CR, настроенного в namespace `cpaas-system`
`--workload`	Вход в кластер нагрузки	Да	Флаг для входа в кластер нагрузки
`--auth-type`	Тип аутентификации	Да	Поддерживаемые значения: `ldap`, `oidc`
`--username`	Имя пользователя для LDAP	Да (только LDAP)	Используется для аутентификации LDAP
`--password`	Пароль для LDAP	Да (только LDAP)	Используется для аутентификации LDAP

#Аутентификация кластера

#Содержание

#Обзор

#Основы Connector CR

#Интеграция с LDAP

#Конфигурация LDAP

#Применение LDAP-коннектора

#Интеграция с OIDC

#Конфигурация OIDC

#Применение OIDC-коннектора

#Использование AC CLI для подключения к ACP

#Предварительные требования

#Примеры команд

#Параметры команд