logo标签列表

将Kubernetes连接到AD

authenticationkubernetesactive-directoryldapsingle-sign-on
5

我创建了一个Kubernetes群集,并希望使用LDAP将其连接到我的Active Directory,以便它具有以下行为:

任何想要运行kubectl的人都必须先进行身份验证(该身份验证将针对我的AD进行)。最好有单点登录(SSO),这意味着身份验证应每隔一段时间(会话)发生。

然而,我在官方的Kubernetes文档中没有找到类似的内容,因此我想知道有哪些可能的建议?

2个回答
3

首先,目前还没有简单的方法来实现这一点。一种实现方式如下。

第一部分是安装DEX

Dex是由CoreOS完成的OpenID Connect提供者。Dex可以将认证委托给LDAP服务器。

第二部分是安装和配置gangway

这是由Hepito创建的,在与OIDC提供者Dex通信时会有一个UI界面以配置kubectl(通过下载kubeconfig)。

对于SSO,Joel Speed来自Pusher撰写了一篇很棒的文章,它也使用了dex,但UI是定制的。

希望这有所帮助。

请详细说明我需要安装DEX的具体内容。 - ChikChak
您需要安装 dex https://github.com/dexidp/dex/blob/master/Documentation/kubernetes.md,然后添加 ldap 插件 https://github.com/dexidp/dex/blob/master/Documentation/connectors/ldap.md。您需要在 kub api 服务器中添加 OIDC 并重新启动 api 服务器,检查令牌是否正常工作,然后可以安装连接到 dex 的 gangway。 - yogesh kunjir
0

使用Canonical的Kubernetes和Active Directory

1 如果您熟悉Canonical的自动化系统juju,那么您将对CDK的部署过程感到非常熟悉。

2 CDK不仅可以部署Kubernetes,还可以部署您的主机。

3 除了主机和Kubernetes之外,CDK还会安装NGINX ingress控制器,并可以部署Helm、Prometheus和其他流行的插件。

要将OpenUnison与Active Directory集成,您需要几个东西:

1 您的Active Directory域控制器的IP地址或DNS主机名

2 您域的证书

3 一个只读服务帐户

来源

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接