Rancher2.x 对接外部认证系统
本文永久链接: https://www.xtplayer.cn/rancher/authentication/rancher2-authentication/
Rancher 为 Kubernetes 增强的一个关键功能是集中用户身份验证,此功能允许您的用户使用一组凭据对所有 Kubernetes 集群进行身份验证。
此集中式用户身份验证是使用 Rancher 身份验证代理完成的,该代理与 Rancher 一起安装。此代理会对您的用户进行身份验证,并使用服务帐户将其请求转发给您的 Kubernetes 集群。
外部认证与本地认证
Rancher 提供本地身份验证,也可以与外部身份验证服务集成:
Auth Service | 可用版本 |
---|---|
Microsoft Active Directory | v2.0.0 |
GitHub | v2.0.0 |
Microsoft Azure AD | v2.0.3 |
FreeIPA | v2.0.5 |
OpenLDAP | v2.0.5 |
Microsoft AD FS | v2.0.7 |
PingIdentity | v2.0.7 |
Keycloak | v2.1.0 |
Okta | v2.2.0 |
在大多数情况下,您应该使用外部身份验证服务,因为外部验证服务可以统一的进行用户管理。如果没有外部身份验证服务,您也可以通过本地身份验证来管理 Rancher 用户。
外部身份验证配置和主要用户
外部身份验证的配置需要:
一个具有管理员角色的本地管理员账号,例如:
local_admin
一个可以使用外部身份验证服务进行身份验证的外部服务账号,例如:
demo
外部身份验证的配置会影响 Rancher 中本地用户的管理方式。请按照以下列表更好地了解这些效果。
以
本地管理员
登录 Rancher,对外部身份验证服务进行完整配置。Rancher 将外部服务账号与本地管理员账号联系在一起。这两个账号共享本地管理员用户的用户 ID。
完成配置后,Rancher 会自动注销本地管理员账号。
然后,Rancher 将自动以外部服务用户登录。
由于外部服务账号和本地管理员账号共享一个 ID,因此在
用户
页面上不会显示外部服务账号的唯一标识。外部服务账号和本地管理员账号共享相同的访问权限。
重要说明 不管启用哪种外部身份验证服务,Rancher 内置的
超级管理员 admin
将一直启用。