لوحة معلومات Kubernetes - مصادقة LDAP على "Active Directory"

هل تريد معرفة كيفية تكوين مصادقة LDAP Kubernetes في “Active Directory”؟ في هذا البرنامج التعليمي، ونحن نذهب لتظهر لك كيفية مصادقة مستخدمي لوحة معلومات Kubernetes باستخدام Windows Active Directory وبروتوكول LDAP.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18

سيقوم هذا البرنامج التعليمي بتثبيت كتلة Kubernetes عقدة واحدة.

في المثال لدينا، عنوان IP للعقدة الرئيسية Kubernetes هو 192.168.15.200.

في المثال الخاص بنا عنوان IP لوحدة تحكم المجال هو 192.168.15.10.

Kubernetes – الدروس

في هذه الصفحة، نقدم وصولاً سريعاً إلى قائمة من الدروس المتعلقة بـ Kubernetes.

البرنامج التعليمي ويندوز – جدار حماية وحدة تحكم المجال

• IP – 192.168.15.10
• نظام الأوبرا – ويندوز 2012 R2
• اسم المضيف – TECH-DC01

أولاً، نحن بحاجة إلى إنشاء قاعدة جدار حماية على وحدة تحكم مجال Windows.

تسمح قاعدة جدار الحماية هذه لملقم Kubernetes بالاستعلام عن Active Directory.

على وحدة تحكم المجال، افتح التطبيق المسمى جدار حماية Windows مع الأمان المتقدم

إنشاء قاعدة جدار حماية واردة جديدة.

حدد خيار PORT.

حدد خيار TCP.

حدد خيار المنافذ المحلية المحددة.

أدخل منفذ TCP 389.

حدد خيار السماح بالاتصال.

zabbix windows firewall allow connection

تحقق من خيار DOMAIN.

تحقق من الخيار الخاص.

تحقق من الخيار العام.

أدخل وصفًا لقاعدة جدار الحماية.

تهانينا، لقد قمت بإنشاء قاعدة جدار الحماية المطلوبة.

تسمح هذه القاعدة ملقم Kubernetes الاستعلام قاعدة بيانات “Active Directory”.

البرنامج التعليمي ويندوز – إنشاء حساب المجال

بعد ذلك، نحن بحاجة إلى إنشاء حسابين على الأقل على قاعدة بيانات الدليل النشط.

سيتم استخدام حساب ADMIN لتسجيل الدخول إلى لوحة معلومات Kubernetes.

سيتم استخدام حساب BIND للاستعلام عن قاعدة بيانات الدليل النشط.

على وحدة تحكم المجال، افتح التطبيق المسمى: مستخدمو الدليل النشط وأجهزة الكمبيوتر

إنشاء حساب جديد داخل حاوية المستخدمين.

إنشاء حساب جديد اسمه: المسؤول

كلمة المرور التي تم تكوينها للمستخدم ADMIN: 123qwe..

سيتم استخدام هذا الحساب للمصادقة على واجهة ويب Kubernetes.

zabbix active directory admin properties

إنشاء حساب جديد اسمه: ربط

كلمة المرور التي تم تكوينها إلى مستخدم BIND: kamisama123..

سوف تستخدم Kubernetes هذا الحساب للاستعلام “Active Directory”.

zabbix active directory ldap bind properties

تهانينا، لقد قمت بإنشاء حسابات “الدليل النشط” المطلوبة.

البرنامج التعليمي ويندوز – إنشاء مجموعة المجال

بعد ذلك، نحن بحاجة إلى إنشاء مجموعة على “Active Directory”.

على وحدة تحكم المجال، افتح التطبيق المسمى: مستخدمو الدليل النشط وأجهزة الكمبيوتر

إنشاء مجموعة جديدة داخل حاوية المستخدمين.

إنشاء مجموعة جديدة باسم: KUBERNETES-ADMIN.

سيكون لدى أعضاء هذه المجموعة إذن إداري على لوحة معلومات Kubernetes.

الهامه! إضافة المستخدم ADMIN كعضو في مسؤول KUBERNETES.

تهانينا، لقد قمت بإنشاء مجموعة الدليل النشط المطلوبة.

البرنامج التعليمي Kubernetes – تركيب العقدة الرئيسية

تثبيت قائمة الحزم المطلوبة.

Copy to Clipboard

تثبيت خدمة دوكر.

Copy to Clipboard

تمكين خدمة Docker أثناء التمهيد.

Copy to Clipboard

تحرير ملف تكوين خدمة Docker.

Copy to Clipboard

إضافة التكوين التالي في نهاية العنصر المسمى: EXECSTART

Copy to Clipboard

هنا هو الملف قبل التكوين لدينا.

Copy to Clipboard

هنا هو الملف بعد التكوين لدينا.

Copy to Clipboard

إنشاء ملف تكوين النظام.

Copy to Clipboard

هنا هو محتوى الملف.

Copy to Clipboard

تمكين ملف تكوين النظام.

Copy to Clipboard

تحرير ملف التكوين المسمى: MODULES. Conf.157

Copy to Clipboard

إضافة التكوين التالي في نهاية هذا الملف.

Copy to Clipboard

تحرير ملف التكوين FSTAB وتعطيل استخدام الذاكرة Swap.

Copy to Clipboard

هنا هو الملف قبل التكوين لدينا.

Copy to Clipboard

هنا هو الملف بعد التكوين لدينا.

Copy to Clipboard

تعيين اسم مضيف فريد.

Copy to Clipboard

إنشاء ملف لتكوين متغيرات البيئة المطلوبة.

Copy to Clipboard

هنا هو محتوى الملف.

Copy to Clipboard

إعادة تشغيل الكمبيوتر.

Copy to Clipboard

قم بتنزيل مفتاح المستودع Kubernetes وتثبيته.

Copy to Clipboard

إضافة مستودع Kubernetes الرسمية.

Copy to Clipboard

تثبيت حزم Kubernetes.

Copy to Clipboard

قم بتنزيل صور Kubernetes المطلوبة.

Copy to Clipboard

هنا هو إخراج الأمر.

Copy to Clipboard

تهيئة الكتلة Kubernetes.

Copy to Clipboard

هنا هو إخراج الأمر.

Copy to Clipboard

يحيط علماً الأمر لإضافة العقد إلى الكتلة Kubernetes.

Copy to Clipboard

تعيين إذن الملف الصحيح على ملف تكوين Kubernetes.

Copy to Clipboard

تثبيت تكوين شبكة الاتصال المطلوبة.

Copy to Clipboard

بشكل افتراضي، لا يسمح للعقدة الرئيسية Kubernetes لتشغيل PODS.

اختياريًا، قم بتمكين العقدة الرئيسية Kubernetes لتشغيل PODS.

Copy to Clipboard

في المثال، نستخدم مجموعة Kubernetes عقدة واحدة.

البرنامج التعليمي – تثبيت لوحة معلومات Kubernetes

تثبيت قائمة الحزم المطلوبة.

Copy to Clipboard

قم بتنزيل ملف YAML المطلوب.

Copy to Clipboard

تثبيت لوحة معلومات Kubernetes.

Copy to Clipboard

هنا هو إخراج الأمر.

Copy to Clipboard

إنشاء حساب خدمة للوحة المعلومات.

Copy to Clipboard

تكوين دور مسؤول الكتلة إلى حساب خدمة لوحة المعلومات.

Copy to Clipboard

إنشاء حساب خدمة وكيل Apache.

Copy to Clipboard

تكوين دور مسؤول الكتلة إلى حساب وكيل Apache.

Copy to Clipboard

قائمة سر اباتشي المتاحة على خادم Kubernetes.

Copy to Clipboard

هنا هو إخراج الأمر.

Copy to Clipboard

لاحظ أن اسم سرك لن يكون نفس اسمنا.

الحصول على قيمة الرمز السري اباتشي.

Copy to Clipboard

هنا هو إخراج الأمر.

Copy to Clipboard

Name:         apache-proxy-token-8gk9p
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: apache-proxy
              kubernetes.io/service-account.uid: e07884b4-282c-4ef1-8662-e2a3eaf3c448

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1025 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhcGFjaGUtcHJveHktdG9rZW4tOGdrOXAiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiYXBhY2hlLXByb3h5Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiZTA3ODg0YjQtMjgyYy00ZWYxLTg2NjItZTJhM2VhZjNjNDQ4Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmUtc3lzdGVtOmFwYWNoZS1wcm94eSJ9.qKzSvCYOqDfvJ1S9W4-nEzZScmGwjYsi3g5df542_aDyZRugbiWbFmjrBTB70tDwuGTeupbPmS3ptweyjbb_7K5VbSk-2zCazgNeiCZ_q7M4yXgPi6rNYNiBX9pQEBaBQCWgH8-VVFGe34xrLR88cv9YNLfH9ZzrdJf2jPEBhptvdVKr6Ljpbhz-4P-mr5_IRsru_72wsRRZZptL80ARp6PkPdrYIQZ3bMQNsq3GEWxMl8SRPVqEuvVXykxfEt1Hx5URwtiwh_MLEZ5ClCIuGsGs8fWQhCLm_l0SY6p9B2DmU-XhhT_HjuotDI3pm2p5pJb9WmO4dMLx_NsBnLSz_Q

يحيط علما قيمة الرمز المميز أباتشي.

في المثال الخاص بنا، هذه هي قيمة الرمز المميز:

Copy to Clipboard

سرد عنوان IP للوحة خدمة نظام المجموعة.

Copy to Clipboard

هنا هو إخراج الأمر.

Copy to Clipboard

أخذ ملاحظة عنوان IP الكتلة ومنفذ TCP.

في المثال الخاص بنا، يستخدم نظام المجموعة لوحة المعلومات منفذ TCP 443 وعنوان IP 10.107.55.24.

لقد انتهيت من تكوين لوحة المعلومات المطلوبة.

Kubernetes الوكيل – مصادقة المستخدم الأساسية باستخدام اباتشي

على عقدة الرئيسي تثبيت ملقم Apache.

Copy to Clipboard

تمكين وحدات أباتشي المطلوبة.

Copy to Clipboard

تحرير ملف تكوين Apache.

Copy to Clipboard

إضافة الأسطر التالية إلى نهاية هذا الملف.

Copy to Clipboard

إنشاء مفتاح خاص وشهادة باستخدام الأمر OpenSSL.

Copy to Clipboard

أدخل المعلومات المطلوبة.

Copy to Clipboard

في الخيار المسمى COMMON_NAME، يجب إدخال عنوان IP أو اسم المضيف.

في مثالنا، نستخدم عنوان IP: 192.168.15.200

قم بتحويل شهادة وكيل Kubernetes الموجودة والمفتاح إلى ملف واحد بتنسيق PEM.

Copy to Clipboard

تحرير ملف تكوين Apache لموقع الويب الافتراضي.

Copy to Clipboard

هنا هو الملف، قبل التكوين لدينا.

Copy to Clipboard

هنا هو الملف، بعد التكوين لدينا.

Copy to Clipboard

<VirtualHost *:80>
        RewriteEngine On
        RewriteCond %{HTTPS} !=on
        RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]
</virtualhost>
<VirtualHost *:443>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
        SSLEngine on
        SSLCertificateFile /etc/apache2/certificate/apache-certificate.crt
        SSLCertificateKeyFile /etc/apache2/certificate/apache.key
        SSLProxyEngine On
        SSLProxyVerify none
        SSLProxyCheckPeerCN off
        SSLProxyCheckPeerName off
        SSLProxyCheckPeerExpire off
        SSLProxyCACertificateFile /etc/kubernetes/pki/ca.crt
        SSLProxyMachineCertificateFile /etc/apache2/certificate/front-proxy-client.pem
        RequestHeader set Authorization "Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJ cm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm hbWUiOiJhcGFjaGUtcHJveHktdG9rZW4tOGdrOXAiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiYXBhY2hlLXByb3h5Iiwia3ViZXJuZXRlcy5pby9zZ J2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiZTA3ODg0YjQtMjgyYy00ZWYxLTg2NjItZTJhM2VhZjNjNDQ4Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmUtc3lzdGVtOmFw WNoZS1wcm94eSJ9.qKzSvCYOqDfvJ1S9W4-nEzZScmGwjYsi3g5df542_aDyZRugbiWbFmjrBTB70tDwuGTeupbPmS3ptweyjbb_7K5VbSk-2zCazgNeiCZ_q7M4yXgPi6rNYNiBX9pQEBaBQCWgH8-VVF e34xrLR88cv9YNLfH9ZzrdJf2jPEBhptvdVKr6Ljpbhz-4P-mr5_IRsru_72wsRRZZptL80ARp6PkPdrYIQZ3bMQNsq3GEWxMl8SRPVqEuvVXykxfEt1Hx5URwtiwh_MLEZ5ClCIuGsGs8fWQhCLm_l0SY p9B2DmU-XhhT_HjuotDI3pm2p5pJb9WmO4dMLx_NsBnLSz_Q"
<Location />
        AuthType Basic
        AuthName "Secure area - Authentication required"
        AuthBasicAuthoritative Off
        AuthBasicProvider ldap
        AuthLDAPURL "ldap://192.168.15.10/CN=Users,DC=tech,DC=local?sAMAccountName?sub?(objectClass=*)"
        AuthLDAPBindDN "bind@tech.local"
        AuthLDAPBindPassword kamisama123..
        AuthLDAPGroupAttribute member
        Require ldap-group CN=KUBERNETES-ADMIN,CN=Users,DC=TECH,DC=LOCAL
        ProxyPass  https://10.107.55.24:443/
        ProxyPassReverse  https://10.107.55.24:443/
</Location>
</VirtualHost>

تغيير عنوان IP لعناصر التكوين المسمى AUTHLDAPURL إلى عنوان IP لوحدة تحكم المجال.

تغيير كافة معلومات المجال في Active Directory لعكس البيئة الخاصة بك.

تغيير عنوان IP لعناصر التكوين المسمى PROXYPASS و PROXYPASSREVERSE إلى عنوان IP من الكتلة لوحة المعلومات.

تغيير قيمة الرمز المميز CI المسمى REQUESTHEADER إلى قيمة الرمز المميز السري Apache تم إنشاؤها سابقاً.

في مثالنا، قمنا بتمكين استخدام HTTPS باستخدام شهادات موقعة ذاتيا.

Copy to Clipboard

في المثال، قمنا بتكوين استخدام مصادقة LDAP.

Copy to Clipboard

سوف يمثل Apache HTTPS الاتصال بين المستخدم و عنوان IP الكتلة لوحة المعلومات.

Copy to Clipboard

سوف تستخدم Apache شهادة ومفتاح تم إنشاؤها تلقائيًا أثناء تثبيت خادم Kubernetes لإجراء مصادقة TLS المتبادلة على لوحة المعلومات.

Copy to Clipboard

سيقوم ملقم Apache بإضافة رأس إلى كافة الحزم المرسلة إلى لوحة المعلومات.

هذا الرأس يسمى حامل التفويض ويحتوي على الرمز المميز السري الذي تم إنشاؤه سابقًا في وكيل Apache.

Copy to Clipboard

كما ستقوم Apache بإعادة توجيه مستخدمي HTTP إلى إصدار HTTPS لعنوان URL المطلوب.

Copy to Clipboard

إعادة تشغيل خدمة أباتشي.

Copy to Clipboard

افتح المتصفح الخاص بك وادخل إلى إصدار HTTPS من عنوان IP الخاص بملقم Apache.

في المثال الذي نقدمه، تم إدخال عنوان URL التالي في المستعرض:

• https://192.168.15.200

سوف يتطلب ملقم Apache إجراء مصادقة المستخدم.

Kubernetes Dashboard Proxy Authentication

بعد تسجيل الدخول الناجح، يجب تقديم لوحة معلومات Kubernetes.

سيقوم وكيل Apache بالمصادقة تلقائيًا إلى لوحة معلومات Kubernetes باستخدام الميزة المسماة: رأس AUTH.

Kubernetes dashboard Authorization bearer

لقد أكملت بنجاح تكوين Apache كوكيل للوحة معلومات Kubernetes.

لوحة معلومات Kubernetes – مصادقة LDAP على “Active Directory”