Kubernetes Dashboard - Autenticación Radius

¿Le gustaría aprender a configurar la autenticación Radius del Kubernetes Dashboard con Freeradius? En este tutorial, vamos a mostrarle cómo autenticar a los usuarios de Kubernetes Dashboard utilizando el protocolo Radius y el servicio Freeradius en un equipo que ejecuta Ubuntu Linux.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18

Este tutorial instalará un clúster de Kubernetes de nodo único.

En nuestro ejemplo, la dirección IP del nodo maestro de Kubernetes es 192.168.15.200.

En nuestro ejemplo, la dirección IP del servidor Radius es 192.168.15.10.

Kubernetes – Tutoriales

En esta página, ofrecemos acceso rápido a una lista de tutoriales relacionados con Kubernetes.

Tutorial – Instalación del servidor FreeRadius en Ubuntu Linux

• IP – 192.168.15.10
• Sistema Operacional – Ubuntu 20
• Nombre de host – FREERADIUS

En la consola Linux, utilice los siguientes comandos para instalar el servicio FreeRadius.

Copy to Clipboard

Ahora, necesitamos agregar clientes FreeRadius a clients.conf;.

Busque y edite clients.conf.

Copy to Clipboard

Agregue las siguientes líneas al final del archivo clients.conf.

Copy to Clipboard

En nuestro ejemplo, estamos agregando 1 dispositivo cliente:

El dispositivo se llamó KUBERNETES y tiene la dirección IP 192.168.15.200.

En nuestro ejemplo, establecemos el secreto: KAMISAMA123.

Ahora, necesitamos agregar usuarios de FreeRadius al archivo de configuración USERS.

Busque y edite el archivo de configuración de usuario de Freeradius.

Copy to Clipboard

Agregue las siguientes líneas al final del archivo

Copy to Clipboard

En nuestro ejemplo, creamos una cuenta de usuario denominada ADMIN.

Reinicie el servidor Freeradius.

Copy to Clipboard

Pruebe el archivo de configuración del servidor Radius.

Copy to Clipboard

Ha terminado la instalación de Freeradius en Ubuntu Linux.

Tutorial Kubernetes – Instalación del Master node

Instale la lista de paquetes necesarios.

Copy to Clipboard

Instale el servicio Docker.

Copy to Clipboard

Habilite el servicio Docker durante el arranque.

Copy to Clipboard

Edite el archivo de configuración del servicio Docker.

Copy to Clipboard

Agregue la siguiente configuración al final del elemento denominado: EXECSTART

Copy to Clipboard

Aquí está el archivo antes de nuestra configuración.

Copy to Clipboard

Aquí está el archivo después de nuestra configuración.

Copy to Clipboard

Cree un archivo de configuración del sistema.

Copy to Clipboard

Aquí está el contenido del archivo.

Copy to Clipboard

Habilite el archivo de configuración del sistema.

Copy to Clipboard

Edite el archivo de configuración denominado: MODULES. Conf

Copy to Clipboard

Agregue la siguiente configuración al final de este archivo.

Copy to Clipboard

Edite el archivo de configuración FSTAB y deshabilite el uso de La memoria de intercambio.

Copy to Clipboard

Aquí está el archivo antes de nuestra configuración.

Copy to Clipboard

Aquí está el archivo después de nuestra configuración.

Copy to Clipboard

Establezca un nombre de host único.

Copy to Clipboard

Cree un archivo para configurar las variables de entorno necesarias.

Copy to Clipboard

Aquí está el contenido del archivo.

Copy to Clipboard

Reinicie el equipo.

Copy to Clipboard

Descargue e instale la clave del repositorio de Kubernetes.

Copy to Clipboard

Agregue el repositorio oficial de Kubernetes.

Copy to Clipboard

Instale los paquetes de Kubernetes.

Copy to Clipboard

Descargue las imágenes de Kubernetes necesarias.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Inicializar el clúster de Kubernetes.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Tome nota del comando para agregar nodos al clúster de Kubernetes.

Copy to Clipboard

Establezca el permiso de archivo correcto en el archivo de configuración de Kubernetes.

Copy to Clipboard

Instale la configuración de red necesaria.

Copy to Clipboard

De forma predeterminada, el nodo maestro de Kubernetes no puede ejecutar PODS.

Opcionalmente, habilite el nodo maestro Kubernetes para ejecutar PODS.

Copy to Clipboard

En nuestro ejemplo, estamos usando un clúster de Kubernetes de nodo único.

Tutorial – Instalación de Kubernetes Dashboard

Instale la lista de paquetes necesarios.

Copy to Clipboard

Descargue el archivo YAML necesario.

Copy to Clipboard

Instale el Dashboard de Kubernetes.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Cree una cuenta de servicio para el Dashboard.

Copy to Clipboard

Configure el rol de administrador de clúster en la cuenta de servicio del Dashboard.

Copy to Clipboard

Cree una cuenta de servicio para el proxy Apache.

Copy to Clipboard

Configure el rol de administrador de clúster en la cuenta de proxy Apache.

Copy to Clipboard

Enumere el secreto Apache disponible en el servidor Kubernetes.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Fíjate que el nombre de tu secreto no será el mismo que el nuestro.

Obtenga el valor del token secreto Apache.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Name:         apache-proxy-token-8gk9p
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: apache-proxy
              kubernetes.io/service-account.uid: e07884b4-282c-4ef1-8662-e2a3eaf3c448

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1025 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhcGFjaGUtcHJveHktdG9rZW4tOGdrOXAiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiYXBhY2hlLXByb3h5Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiZTA3ODg0YjQtMjgyYy00ZWYxLTg2NjItZTJhM2VhZjNjNDQ4Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmUtc3lzdGVtOmFwYWNoZS1wcm94eSJ9.qKzSvCYOqDfvJ1S9W4-nEzZScmGwjYsi3g5df542_aDyZRugbiWbFmjrBTB70tDwuGTeupbPmS3ptweyjbb_7K5VbSk-2zCazgNeiCZ_q7M4yXgPi6rNYNiBX9pQEBaBQCWgH8-VVFGe34xrLR88cv9YNLfH9ZzrdJf2jPEBhptvdVKr6Ljpbhz-4P-mr5_IRsru_72wsRRZZptL80ARp6PkPdrYIQZ3bMQNsq3GEWxMl8SRPVqEuvVXykxfEt1Hx5URwtiwh_MLEZ5ClCIuGsGs8fWQhCLm_l0SY6p9B2DmU-XhhT_HjuotDI3pm2p5pJb9WmO4dMLx_NsBnLSz_Q

Tome nota del valor del token Apache.

En nuestro ejemplo, este es el valor del token:

Copy to Clipboard

Enumere la dirección IP del clúster del servicio Dashboard.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Tome nota de la dirección IP del clúster y del puerto TCP.

En nuestro ejemplo, el clúster de Dashboard utiliza el puerto TCP 443 y la dirección IP 10.107.55.24.

Ha terminado la configuración de Dashboard necesaria.

Kubernetes Proxy – Autenticación Radius mediante Apache

En el nodo Maestro, instale el servidor Apache.

Copy to Clipboard

Habilite los módulos Apache necesarios.

Copy to Clipboard

Edite el archivo de configuración de Apache.

Copy to Clipboard

Agregue las siguientes líneas al final de este archivo.

Copy to Clipboard

Cree una clave privada y un certificado mediante el comando OpenSSL.

Copy to Clipboard

Introduzca la información solicitada.

Copy to Clipboard

En la opción denominada COMMON_NAME, debe introducir la dirección IP o el nombre de host.

En nuestro ejemplo, usamos la dirección IP: 192.168.15.200

Convierta el certificado de proxy de Kubernetes existente y la clave en un único archivo en formato PEM.

Copy to Clipboard

Edite el archivo de configuración de Apache para el sitio web predeterminado.

Copy to Clipboard

Aquí está el archivo, antes de nuestra configuración.

Copy to Clipboard

Aquí está el archivo, después de nuestra configuración.

Copy to Clipboard

<VirtualHost *:80>
        RewriteEngine On
        RewriteCond %{HTTPS} !=on
        RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]
</virtualhost>
<VirtualHost *:443>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
        SSLEngine on
        SSLCertificateFile /etc/apache2/certificate/apache-certificate.crt
        SSLCertificateKeyFile /etc/apache2/certificate/apache.key
        SSLProxyEngine On
        SSLProxyVerify none
        SSLProxyCheckPeerCN off
        SSLProxyCheckPeerName off
        SSLProxyCheckPeerExpire off
        SSLProxyCACertificateFile /etc/kubernetes/pki/ca.crt
        SSLProxyMachineCertificateFile /etc/apache2/certificate/front-proxy-client.pem
        RequestHeader set Authorization "Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJ cm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm hbWUiOiJhcGFjaGUtcHJveHktdG9rZW4tOGdrOXAiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiYXBhY2hlLXByb3h5Iiwia3ViZXJuZXRlcy5pby9zZ J2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiZTA3ODg0YjQtMjgyYy00ZWYxLTg2NjItZTJhM2VhZjNjNDQ4Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmUtc3lzdGVtOmFw WNoZS1wcm94eSJ9.qKzSvCYOqDfvJ1S9W4-nEzZScmGwjYsi3g5df542_aDyZRugbiWbFmjrBTB70tDwuGTeupbPmS3ptweyjbb_7K5VbSk-2zCazgNeiCZ_q7M4yXgPi6rNYNiBX9pQEBaBQCWgH8-VVF e34xrLR88cv9YNLfH9ZzrdJf2jPEBhptvdVKr6Ljpbhz-4P-mr5_IRsru_72wsRRZZptL80ARp6PkPdrYIQZ3bMQNsq3GEWxMl8SRPVqEuvVXykxfEt1Hx5URwtiwh_MLEZ5ClCIuGsGs8fWQhCLm_l0SY p9B2DmU-XhhT_HjuotDI3pm2p5pJb9WmO4dMLx_NsBnLSz_Q"
<Location />
        AuthType Basic
        AuthName "Secure area - Authentication required"
        AuthBasicAuthoritative Off
        AuthBasicProvider radius
        AuthRadiusAuthoritative on
        AuthRadiusActive On
        Require valid-user
        ProxyPass  https://10.107.55.24:443/
        ProxyPassReverse  https://10.107.55.24:443/
</Location>
AddRadiusAuth 192.168.15.10:1812 kamisama123 5:3
</VirtualHost>

Cambie la dirección IP del elemento de configuración denominado ADDRADIUSAUTH a la dirección IP del servidor Radius.

Cambie la dirección IP de los elementos de configuración denominados PROXYPASS y PROXYPASSREVERSE a la dirección IP del clúster de dashboard.

Cambie el valor del token del CI denominado REQUESTHEADER por el valor de token secreto de Apache creado anteriormente.

En nuestro ejemplo, habilitamos el uso de HTTPS mediante certificados autofirmados.

Copy to Clipboard

En nuestro ejemplo, configuramos el uso de la autenticación RADIUS.

Copy to Clipboard

Apache representará la comunicación HTTPS entre el usuario y la dirección IP del clúster de Dashboard.

Copy to Clipboard

Apache utilizará un certificado y una clave creados automáticamente durante la instalación del servidor de Kubernetes para realizar la autenticación TLS mutua en el panel.

Copy to Clipboard

El servidor Apache agregará un encabezado a todos los paquetes enviados al panel.

Este encabezado se denomina AUTHORIZATION BEARER y contiene el token secreto creado anteriormente en el proxy Apache.

Copy to Clipboard

Apache también redirigirá a los usuarios HTTP a la versión HTTPS de la URL solicitada.

Copy to Clipboard

Reinicie el servicio Apache.

Copy to Clipboard

Abra su navegador y acceda a la versión HTTPS de la dirección IP del servidor Apache.

En nuestro ejemplo, se ha introducido la siguiente dirección URL en el explorador:

• https://192.168.15.200

El servidor Apache requerirá que realice la autenticación de usuario.

Kubernetes Dashboard Proxy Authentication

Después de un inicio de sesión exitoso, se debe presentar el Dashboard de Kubernetes.

El proxy Apache se autenticará automáticamente en el panel de Kubernetes mediante la característica denominada: AUTH HEADER.

Kubernetes dashboard Authorization bearer

Ha completado correctamente la configuración de Apache como proxy para el panel de Kubernetes.

Kubernetes Dashboard – Autenticación Radius