Rancher 入门系列文章-Rancher 对接 Active Directory 实战

引言

在企业级 Kubernetes 环境中，身份验证和访问控制是重要的安全保障措施。Rancher 作为 Kubernetes 管理平台，支持对接多种身份验证和授权系统，其中就包括 Active Directory (AD)。通过对接 AD，Rancher 可以利用 AD 中的用户和组信息，实现对 Kubernetes 集群的统一身份管理。

前提条件

在开始对接之前，确保满足以下前提条件：

1. 拥有 Rancher 集群。
2. 拥有 Active Directory 环境。
3. 确保 Active Directory 环境正常运行。
4. 拥有 AD 管理员权限。
5. 确保 Rancher 节点与 AD 服务器之间可以相互通信。

步骤指南

1. 配置 Active Directory

1. 在 AD 环境中，创建一个用于 Rancher 集群身份验证的专用组，例如 "Rancher-Users"。
2. 将需要访问 Rancher 集群的用户或组添加到该专用组中。

2. 配置 Rancher 集群

1. 登录 Rancher UI。
2. 在左侧导航栏中，单击 "安全"。
3. 在 "身份验证" 部分，单击 "添加身份验证提供程序"。
4. 在 "类型" 下拉菜单中，选择 "Active Directory"。
5. 在 "名称" 字段中，输入身份验证提供程序的名称，例如 "AD-Provider"。
6. 在 "服务器地址" 字段中，输入 AD 服务器的地址或主机名。
7. 在 "端口" 字段中，输入 AD 服务器的 LDAP 端口，通常是 389。
8. 在 "安全连接" 部分，选择 "是" 以启用 SSL 连接。
9. 在 "域" 字段中，输入 AD 域的名称，例如 "example.com"。
10. 在 "基准 DN" 字段中，输入 AD 中用户和组的基准 DN，例如 "DC=example,DC=com"。
11. 在 "用户名" 字段中，输入具有 AD 管理员权限的用户名，例如 "admin@example.com"。
12. 在 "密码" 字段中，输入该用户的密码。
13. 单击 "保存"。

3. 测试身份验证

1. 在 Rancher UI 中，单击 "用户"。
2. 在 "身份验证提供程序" 下拉菜单中，选择 "AD-Provider"。
3. 单击 "刷新" 按钮。
4. 您应该能够看到来自 AD 的用户和组。

4. 启用身份验证

1. 在 Rancher UI 中，单击 "设置"。
2. 在 "身份验证" 部分，选择 "启用"。
3. 在 "身份验证提供程序" 下拉菜单中，选择 "AD-Provider"。
4. 单击 "保存"。

常见问题解答

1. 对接 AD 后，用户无法登录 Rancher。

• 请检查 AD 配置是否正确，包括 AD 服务器地址、端口、域、基准 DN、用户名和密码等。
• 请检查 Rancher 与 AD 之间的网络连接是否正常。
• 请检查 AD 用户或组是否被添加到 Rancher 中。

2. 对接 AD 后，用户可以登录 Rancher，但无法访问资源。

• 请检查 Rancher 中的 RBAC 设置，确保用户或组具有访问资源的权限。
• 请检查 AD 用户或组是否具有访问资源的权限。

3. 对接 AD 后，如何禁用 Rancher 的内置身份验证？

• 在 Rancher UI 中，单击 "设置"。
• 在 "身份验证" 部分，选择 "禁用"。
• 单击 "保存"。

总结

通过对接 Active Directory，Rancher 可以利用 AD 中的用户和组信息，实现对 Kubernetes 集群的统一身份管理。这可以简化用户管理，提高集群的安全性。希望本文能够帮助您顺利完成 Rancher 与 AD 的对接。