ldap · k8s集群部署

LDAP統一認證管理平臺搭建文檔一.準備環境 os:ubuntu18.0410.3.8.41 安裝軟件：LDAPPHPLDAPADMIN 二.開始安裝 1.修改host vim /etc/hosts 10.3.8.41 pk.com 127.0.0.1 pk.com 2.安裝LDAP \# apt install slapd ldap-utils 設置LDAP的admin的密碼 3.安裝了后，我們來使用配置文件添加幾個組和用戶來測試LDAP的可用性 \# cat add\_ldif dn: ou=People,dc=pk,dc=com objectClass: organizationalUnit ou: People dn: ou=Groups,dc=pk,dc=com objectClass: organizationalUnit ou: Groups dn: cn=miners,ou=Groups,dc=pk,dc=com objectClass: posixGroup cn: miners gidNumber: 5000 dn: uid=john,ou=People,dc=pk,dc=com objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: john sn: Doe givenName: John cn: John Doe displayName: John Doe uidNumber: 10000 gidNumber: 5000 userPassword: johnldap gecos: John Doe loginShell: /bin/bash homeDirectory: /home/john \# ldapadd -x -D cn=admin,dc=pk,dc=com -W -f ad.ldif Enter LDAP Password: adding new entry "ou=People,dc=pk,dc=com" adding new entry "ou=Groups,dc=pk,dc=com" adding new entry "cn=miners,ou=Groups,dc=pk,dc=com" adding new entry "uid=john,ou=People,dc=pk,dc=com" 上述執行成功后，說明我們的LDAP可用了。三.安裝LDAP的web管理工具PHPLDAPADMIN 1.安裝： #apt-get install phpldapadmin The following NEW packages will be installed: apache2 apache2-bin apache2-data apache2-utils libapache2-mod-php7.2 libapr1 libaprutil1 libaprutil1-dbd-sqlite3 libaprutil1-ldap liblua5.2-0 libsodium23 php php-common php-ldap php-xml php7.2 php7.2-cli php7.2-common php7.2-json php7.2-ldap php7.2-opcache php7.2-readline php7.2-xml phpldapadmin ssl-cert 在ubuntu上會默認安裝php7.x的高版本，但是ubuntu18.04對這個支持不是很好![](blob:http://www.hmoore.net/7bf08cac-538d-4c5d-8a84-5edd83c1d4c3) 會有很多函數不可用，遇到這種情況，我在網上找到一種解決辦法，修改源代碼。 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=890127，具體看這個博客。 2.修改phpldapadmin的配置文件 ![](blob:http://www.hmoore.net/0cfb774f-e807-4432-ac02-84b321bd1c86) \# cat/etc/phpldapadmin/config.php 3.配置apache的虛擬主機，默認安裝的phpldapadmin還會幫我們安裝apache2，我們直接啟動姐可以了 #/etc/init.d/apache2 start 4.我們可以訪問：http:ip:port/phpladpadmin訪問到web界面。![](blob:http://www.hmoore.net/2cc061f9-1e23-4b45-b021-03061d2839e2) 5.登陸：![](blob:http://www.hmoore.net/63bfc741-f70a-4654-9f2d-4979062ec0c3) 修改成對應的dc然后輸入管理員admin的密碼，即可登陸。 6.創建用戶：進入頁面后我們可以看到之前用來測試的建的幾個ou，ou代表組織，ou底下可以添加用戶。 ![](blob:http://www.hmoore.net/348a51f7-4791-4e1d-9d5b-a0f3b0814d8d) 我們現在ldap上添加一個ou組，名字叫做ou=KUBE\_SYSTEM的組織，代表新平臺的運維組，按下圖操作，ldap的數據存儲是目錄，我們很容易看出哪個條目屬于哪個目錄，我們在base dn下創建ou ![](blob:http://www.hmoore.net/9c266f82-c912-4e41-8efe-28fd64acc1f1) ![](blob:http://www.hmoore.net/16105ed8-f26a-4f5f-b1ac-dac48ee98dd7) 點擊提交即可創建ou 我們在KUBE\_SYSTEM組織下給同事創建一個用戶，第一步點擊我們的ou=KUBE\_SYSTEM這個組織，展開這個目錄，第二步點擊創建，選擇模版 ![](blob:http://www.hmoore.net/de35d951-1b93-42c9-84a7-ba8d1c280e19)![](blob:http://www.hmoore.net/e7b081c3-ad20-4f74-87ff-69f2837736e1) ![](blob:http://www.hmoore.net/68ba5058-7665-467b-9db0-13c277c3b4c1) 點擊提交我們就成功創建了這個用戶。四.LDAP與jumpserver集成 1.首先我們以管理用戶登陸到jumpserver中，點擊系統設置，知道LDAP設置 ![](blob:http://www.hmoore.net/9d6e175f-5284-41b5-b1cf-7b14f037245c) LDAP地址：填LDAP的地址綁定DN：輸入管理員條目的DN 密碼：輸入管理員的密碼用戶OU：輸入你的創建的分組OU，他就只會去匹配你分組底下的用戶，多個OU用I分割用戶過濾器：就是匹配分組的賬戶下的某個字段可以有uid sn cn都可以 LDAP屬性映射：將ldap分組用戶下的某個屬性映射jumpserver的某個屬性填好上述內容后，點擊test測試一下看可以匹配到用戶，如果測試匹配到用戶，就可以點擊提交，然后用ldap的用戶去登陸jumpserver,登陸成功后，管理員用戶可以看到ldap的用戶加入到用戶設置中了。![](blob:http://www.hmoore.net/e53f0319-cf31-47f7-88cb-dd2b46c3e6a8) 五.LDAP與jenkins集成 1.首先我們以管理員用戶登陸上jenkins，找到設置ldap的地方。 ![](blob:http://www.hmoore.net/80cb00ba-54f9-45fb-b2d5-7f3eead0edb5) 2.啟用ldap ![](blob:http://www.hmoore.net/97919bed-9b82-49b3-baa1-2ad07512b571) 3.編輯配置，并且點擊測試，測試成功即可保存，登出jenkins然后用授權的賬號進行登陸。 ![](blob:http://www.hmoore.net/9ea46ccb-be2a-4823-ac2e-ecfc668dffcc) ![](blob:http://www.hmoore.net/e246d3d8-aa60-4bf3-8258-7dfd7b3ce2dc)