LDAP Identity Provider > OpenShift 자료실

LDAP 인증은 binding이라고 부른다. 이 절차는 사용자 아이디인 DN과 password로 LDAP 서버에 인증을 받는 것이다. LDAP을 사용할 때에는 TLS 프로토콜을 함께 사용하는 것을 권장한다. 여기에는 추가로 인증서가 필요하기 때문에 준비해야 한다.

LDAP Identity Provider를 구성하기 위한 인증서를 먼저 다운로드 받는다.

  # curl http://ipa.shared.example.opentlc.com/ipa/config/ca.crt -o ipa-ca.crt

다운로드 받은 인증서를 openshift-config 네임스페이스의 configmap 오브젝트로 생성한다.

  # oc create configmap -n openshift-config opentlc-ipa-tls-ca --from-file=ca.crt=ipa-ca.crt

LDAP 서버에 생성된 사용자의 패스워드는 같은 네임스페이스에 시크릿으로 저장한다.

  # oc create secret generic -n openshift-config opentlc-ipa-bind-password --from-literal=bindPassword=PASSWORD

oAuth 설정 변경을 위한 yaml 파일을 수정한다.

  # vim oauth.yaml
apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
 name: cluster
spec:
 identityProviders:
 - name: htpasswd-provider
 mappingMethod: claim
 type: HTPasswd
 htpasswd:
 fileData:
 name: htpasswd
// 여기부터 추가
 - name: LDAP
 challenge: true
 login: true
 mappingMethod: claim
 type: LDAP
 ldap:
 attributes:
 email: ["mail"]
 id: ["dn"]
 name: ["cn"]
 preferredUsername: ["uid"]
 bindDN: "uid=admin,cn=users,cn=accounts,dc=shared,dc=example,dc=ldaptest,dc=com"
 bindPassword:
 name: ipa-bind-password
 insecure: false
 ca:
 name: ipa-tls-ca
 url:
"ldaps://ipa.shared.example.opentlc.com:636/cn=users,cn=accounts,dc=shared,dc=example,dc=ldaptest,d
c=com?uid?sub?(memberOf=cn=ocp-users,cn=groups,cn=accounts,dc=shared,dc=example,dc=ldaptest,dc=com)
"

파일을 수정하고 적용한다.

  # oc replace -y oauth.yaml