1,基本概念

  • 为了方便管理和集成jenkins,k8s、harbor、jenkins均使用openLDAP统一认证。

2,部署openLDAP

  • 根据之前的文档,openLDAP使用GFS进行数据持久化。
  • 下载对应的openLDAP文件
git clone https://github.com/xiaoqshuo/k8s-cluster.git

2.1 创建openLDAP

[root@k8s-master01 k8s-cluster]# kubectl apply -f openldap/
deployment.extensions/ldap created
persistentvolumeclaim/openldap-data created
secret/ldap-secret created
service/ldap-service created
deployment.extensions/phpldapadmin created
service/phpldapadmin created
  • 此处参考的是:https://github.com/osixia/docker-openldap,更新DN可以更改environment下的yaml文件,默认的example.org

2.2 创建ldap-ui-ingress

[root@k8s-master01 openldap]# kubectl create -f traefik-ldap.yaml 
ingress.extensions/ldap-ui created

[root@k8s-master01 openldap]# cat traefik-ldap.yaml 
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: ldap-ui
  namespace: public-service
  annotations:
    kubernetes.io/ingress.class: traefik
spec:
  rules:
  - host: ldap.k8s.net
    http:
      paths:
      - backend:
          serviceName: phpldapadmin
          servicePort: 8080

3, 查看验证

[root@k8s-master01 openldap]# kubectl get po,svc,pvc -n public-service | grep ldap
pod/ldap-6c9fcc7446-r52r7          1/1     Running   0          4m19s
pod/phpldapadmin-6784bf8db-gxqw2   1/1     Running   0          4m16s

service/glusterfs-dynamic-openldap-data   ClusterIP   10.96.177.154    <none>        1/TCP                            3m29s
service/ldap-service                      ClusterIP   10.111.36.109    <none>        389/TCP,636/TCP                  4m16s
service/phpldapadmin                      ClusterIP   10.103.142.162   <none>        8080/TCP                         4m11s

persistentvolumeclaim/openldap-data                                              Bound    pvc-252ac771-01da-11e9-b0c8-000c2927a0d0   1Gi        RWX            gluster-heketi                 4m20s

3.1 访问web

  • 访问phpldapadmin:ldap.k8s.net

1306461-20181217170715571-1509304917.png

  • 登录
  • 默认DN:cn=admin,dc=example,dc=org,默认Password:admin(线上系统需自定义修改)

1306461-20181218092409949-1560719290.png

1306461-20181218092506123-602106939.png

4, 添加用户和组

4.1 创建Groups和People OU

  • People OU

1306461-20190128134152609-22993057.png

  • Groups

1306461-20181221112915442-620641964.png

4.2 创建组和用户

4.2.1 组 dev devops test

1306461-20190128134256646-781093785.png

1306461-20181221113102427-2121130888.png

  • 组结果

1306461-20181221113245308-2132636969.png

4.2.2 用户

1306461-20181221113449142-1201712806.png

  • 填写基本信息,选择组和Login Shell
  • 注意修改Common Name

1306461-20181221113904907-480411119.png

1306461-20181221113929093-2121698363.png

  • 结果

1306461-20181221113951541-2110954495.png

4.3 为每个用户添加Email,没有Email无法登陆gitlab

1306461-20181221114047973-1700401100.png

5,配置k8s使用ldap登录

未完待续

  • 参考:
    • https://www.cnblogs.com/dukuan/p/9983899.html
    • https://github.com/osixia/
    • https://icicimov.github.io/blog/virtualization/Kubernetes-LDAP-Authentication/
    • https://github.com/nginxinc/nginx-ldap-auth.git

转载于:https://www.cnblogs.com/xiaoqshuo/p/10132588.html

# 后端 # git
Logo
K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 |  韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号​前言台湾作家林清玄在接受记者采访的时候,如此评价自己 30 多年写作生涯:“第一个十年我才华横溢,‘贼光闪现’,令周边黯然失色;第二个十年,我终于‘宝光现形’,不再去抢风头,反而与身边的美丽相得益彰;进入第三个十年,繁华落尽见真醇,我进入了‘醇光初现’的阶段,真正体味到了境界之美”。​长夜有穷,真水无香。领略过了 K8s“身在江

avatar K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台?

作者 | 孙健波(天元)导读:当前云原生 DevOps 体系现状如何?面临哪些挑战?如何通过 OAM 解决云原生 DevOps 场景下的诸多问题?云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答,并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps?为什么基于 Kub

avatar K8S/Kubernetes

k8s 火了!

2020,上云之年,产品云端化成为一种趋势。在一线城市,很多公司都已经构建了自己的私有云环境,比如阿里云、网易云、华为云等。而Kubernetes 作为基于容器编排领域的王者,具备扩展...

avatar K8S/Kubernetes