Dashboard Kubernetes - Authentification Radius

Souhaitez-vous apprendre à configurer l’authentification Radius du Dashboard Kubernetes avec Freeradius ? Dans ce didacticiel, nous allons vous montrer comment authentifier les utilisateurs de Kubernetes Dashboard à l’aide du protocole Radius et du service Freeradius sur un ordinateur exécutant Ubuntu Linux.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18

Ce didacticiel installera un cluster Kubernetes à nœud unique.

Dans notre exemple, l’adresse IP du nœud principal Kubernetes est 192.168.15.200.

Dans notre exemple, l’adresse IP du serveur Radius est 192.168.15.10.

Kubernetes – Tutoriels

Sur cette page, nous offrons un accès rapide à une liste de tutoriels liés à Kubernetes.

Tutorial – FreeRadius Server Installation sur Ubuntu Linux

• IP – 192.168.15.10
• Système d’opéra – Ubuntu 20
• Hostname – FREERADIUS

Sur la console Linux, utilisez les commandes suivantes pour installer le service FreeRadius.

Copy to Clipboard

Maintenant, nous avons besoin d’ajouter des clients FreeRadius aux clients.conf;.

Localiser et modifier les clients.conf.

Copy to Clipboard

Ajoutez les lignes suivantes à la fin du fichier clients.conf.

Copy to Clipboard

Dans notre exemple, nous ajoutons 1 appareil client :

L’appareil a été nommé KUBERNETES et a l’adresse IP 192.168.15.200.

Dans notre exemple, nous avons posé le secret : KAMISAMA123.

Maintenant, nous devons ajouter les utilisateurs FreeRadius au fichier de configuration USERS.

Recherchez et modifiez le fichier de configuration utilisateur Freeradius.

Copy to Clipboard

Ajouter les lignes suivantes à la fin du fichier

Copy to Clipboard

Dans notre exemple, nous créons un compte d’utilisateur nommé ADMIN.

Redémarrez le serveur Freeradius.

Copy to Clipboard

Testez votre fichier de configuration de serveur Radius .

Copy to Clipboard

Vous avez terminé l’installation Freeradius sur Ubuntu Linux.

Didacticiel Kubernetes – Installation du nœud maître

Installez la liste des paquets requis.

Copy to Clipboard

Installez le service Docker.

Copy to Clipboard

Activez le service Docker pendant le démarrage.

Copy to Clipboard

Modifiez le fichier de configuration du service Docker.

Copy to Clipboard

Ajouter la configuration suivante à la fin de l’élément nommé : EXECSTART

Copy to Clipboard

Voici le fichier avant notre configuration.

Copy to Clipboard

Voici le fichier après notre configuration.

Copy to Clipboard

Créez un fichier de configuration système.

Copy to Clipboard

Voici le contenu du fichier.

Copy to Clipboard

Activez le fichier de configuration système.

Copy to Clipboard

Modifiez le fichier de configuration nommé : MODULES.CONF

Copy to Clipboard

Ajoutez la configuration suivante à la fin de ce fichier.

Copy to Clipboard

Modifiez le fichier de configuration FSTAB et désactivez l’utilisation de la mémoire Swap.

Copy to Clipboard

Voici le fichier avant notre configuration.

Copy to Clipboard

Voici le fichier après notre configuration.

Copy to Clipboard

Définissez un nom d’hôte unique.

Copy to Clipboard

Créez un fichier pour configurer les variables d’environnement requises.

Copy to Clipboard

Voici le contenu du fichier.

Copy to Clipboard

Redémarrez l’ordinateur.

Copy to Clipboard

Téléchargez et installez la clé de référentiel Kubernetes.

Copy to Clipboard

Ajoutez le référentiel officiel Kubernetes.

Copy to Clipboard

Installez les packages Kubernetes.

Copy to Clipboard

Téléchargez les images Kubernetes requises.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Initialiser le cluster Kubernetes.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Prenez note de la commande pour ajouter des nœuds au cluster Kubernetes.

Copy to Clipboard

Définissez l’autorisation de fichier correcte sur le fichier de configuration Kubernetes.

Copy to Clipboard

Installez la configuration réseau requise.

Copy to Clipboard

Par défaut, le nœud maître Kubernetes n’est pas autorisé à exécuter des PODS.

En option, activez le nœud maître Kubernetes pour exécuter pods.

Copy to Clipboard

Dans notre exemple, nous utilisons un cluster Kubernetes à nœud unique.

Didacticiel – Installation du Kubernetes Dashboard

Installez la liste des paquets requis.

Copy to Clipboard

Téléchargez le fichier YARL requis.

Copy to Clipboard

Installez le Kubernetes Dashboard.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Créez un compte de service pour le Dashboard.

Copy to Clipboard

Configurez le rôle d’administrateur de cluster sur le compte de service Dashboard.

Copy to Clipboard

Créez un compte de service pour le proxy Apache.

Copy to Clipboard

Configurez le rôle d’administrateur de cluster sur le compte proxy Apache.

Copy to Clipboard

Répertoriez le secret Apache disponible sur le serveur Kubernetes.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Notez que le nom de votre secret ne sera pas le même que le nôtre.

Obtenez la valeur du jeton secret Apache.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Name:         apache-proxy-token-8gk9p
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: apache-proxy
              kubernetes.io/service-account.uid: e07884b4-282c-4ef1-8662-e2a3eaf3c448

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1025 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhcGFjaGUtcHJveHktdG9rZW4tOGdrOXAiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiYXBhY2hlLXByb3h5Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiZTA3ODg0YjQtMjgyYy00ZWYxLTg2NjItZTJhM2VhZjNjNDQ4Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmUtc3lzdGVtOmFwYWNoZS1wcm94eSJ9.qKzSvCYOqDfvJ1S9W4-nEzZScmGwjYsi3g5df542_aDyZRugbiWbFmjrBTB70tDwuGTeupbPmS3ptweyjbb_7K5VbSk-2zCazgNeiCZ_q7M4yXgPi6rNYNiBX9pQEBaBQCWgH8-VVFGe34xrLR88cv9YNLfH9ZzrdJf2jPEBhptvdVKr6Ljpbhz-4P-mr5_IRsru_72wsRRZZptL80ARp6PkPdrYIQZ3bMQNsq3GEWxMl8SRPVqEuvVXykxfEt1Hx5URwtiwh_MLEZ5ClCIuGsGs8fWQhCLm_l0SY6p9B2DmU-XhhT_HjuotDI3pm2p5pJb9WmO4dMLx_NsBnLSz_Q

Prenez note de la valeur de jeton Apache.

Dans notre exemple, il s’agit de la valeur symbolique :

Copy to Clipboard

Répertoriez l’adresse IP du cluster de service Dashboard.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Prenez note de l’adresse IP du cluster et du port TCP.

Dans notre exemple, le cluster Dashboard utilise le port TCP 443 et l’adresse IP 10.107.55.24.

Vous avez terminé la configuration du Dashboard requise.

Proxy Kubernetes – Authentification radi rayon à l’aide d’Apache

Sur le nœud Maître, installez le serveur Apache.

Copy to Clipboard

Activez les modules Apache requis.

Copy to Clipboard

Modifiez le fichier de configuration Apache.

Copy to Clipboard

Ajoutez les lignes suivantes à la fin de ce fichier.

Copy to Clipboard

Créez une clé et un certificat privés à l’aide de la commande OpenSSL.

Copy to Clipboard

Entrez les informations demandées.

Copy to Clipboard

Dans l’option nommée COMMON_NAME, vous devez entrer l’adresse IP ou le nom d’hôte.

Dans notre exemple, nous utilisons l’adresse IP : 192.168.15.200

Convertissez votre certificat proxy Kubernetes existant et la clé en un seul fichier au format PEM.

Copy to Clipboard

Modifiez le fichier de configuration Apache pour le site Web par défaut.

Copy to Clipboard

Voici le fichier, avant notre configuration.

Copy to Clipboard

Voici le fichier, après notre configuration.

Copy to Clipboard

<VirtualHost *:80>
        RewriteEngine On
        RewriteCond %{HTTPS} !=on
        RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]
</virtualhost>
<VirtualHost *:443>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
        SSLEngine on
        SSLCertificateFile /etc/apache2/certificate/apache-certificate.crt
        SSLCertificateKeyFile /etc/apache2/certificate/apache.key
        SSLProxyEngine On
        SSLProxyVerify none
        SSLProxyCheckPeerCN off
        SSLProxyCheckPeerName off
        SSLProxyCheckPeerExpire off
        SSLProxyCACertificateFile /etc/kubernetes/pki/ca.crt
        SSLProxyMachineCertificateFile /etc/apache2/certificate/front-proxy-client.pem
        RequestHeader set Authorization "Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJ cm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm hbWUiOiJhcGFjaGUtcHJveHktdG9rZW4tOGdrOXAiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiYXBhY2hlLXByb3h5Iiwia3ViZXJuZXRlcy5pby9zZ J2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiZTA3ODg0YjQtMjgyYy00ZWYxLTg2NjItZTJhM2VhZjNjNDQ4Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmUtc3lzdGVtOmFw WNoZS1wcm94eSJ9.qKzSvCYOqDfvJ1S9W4-nEzZScmGwjYsi3g5df542_aDyZRugbiWbFmjrBTB70tDwuGTeupbPmS3ptweyjbb_7K5VbSk-2zCazgNeiCZ_q7M4yXgPi6rNYNiBX9pQEBaBQCWgH8-VVF e34xrLR88cv9YNLfH9ZzrdJf2jPEBhptvdVKr6Ljpbhz-4P-mr5_IRsru_72wsRRZZptL80ARp6PkPdrYIQZ3bMQNsq3GEWxMl8SRPVqEuvVXykxfEt1Hx5URwtiwh_MLEZ5ClCIuGsGs8fWQhCLm_l0SY p9B2DmU-XhhT_HjuotDI3pm2p5pJb9WmO4dMLx_NsBnLSz_Q"
<Location />
        AuthType Basic
        AuthName "Secure area - Authentication required"
        AuthBasicAuthoritative Off
        AuthBasicProvider radius
        AuthRadiusAuthoritative on
        AuthRadiusActive On
        Require valid-user
        ProxyPass  https://10.107.55.24:443/
        ProxyPassReverse  https://10.107.55.24:443/
</Location>
AddRadiusAuth 192.168.15.10:1812 kamisama123 5:3
</VirtualHost>

Modifiez l’adresse IP de l’élément de configuration nommé ADDRADIUSAUTH à l’adresse IP du serveur Radius.

Modifiez l’adresse IP des éléments de configuration nommés PROXYPASS et PROXYPASSREVERSE à l’adresse IP du cluster Dashboard.

Modifiez la valeur de jeton de l’IC nommé REQUESTHEADER en valeur de jeton secret Apache créée précédemment.

Dans notre exemple, nous avons activé l’utilisation de HTTPS à l’aide de certificats autosignés.

Copy to Clipboard

Dans notre exemple, nous avons configuré l’utilisation de l’authentification RADIUS.

Copy to Clipboard

Apache représentera la communication HTTPS entre l’utilisateur et l’adresse IP du cluster Dashboard.

Copy to Clipboard

Apache utilisera un certificat et une clé créés automatiquement lors de l’installation du serveur Kubernetes pour effectuer l’authentification TLS mutuelle sur le Dashboard.

Copy to Clipboard

Le serveur Apache ajoutera un en-tête à tous les paquets envoyés au Dashboard.

Cet en-tête est nommé AUTHORIZATION BEARER et contient le jeton secret créé plus tôt dans le proxy Apache.

Copy to Clipboard

Apache redirigera également les utilisateurs HTTP vers la version HTTPS de l’URL demandée.

Copy to Clipboard

Redémarrez le service Apache.

Copy to Clipboard

Ouvrez votre navigateur et accédez à la version HTTPS de l’adresse IP du serveur Apache.

Dans notre exemple, l’URL suivante a été saisie dans le navigateur :

• https://192.168.15.200

Le serveur Apache vous demandera d’effectuer l’authentification utilisateur.

Kubernetes Dashboard Proxy Authentication

Après une connexion réussie, le Kubernetes Dashboard doit être présenté.

Le proxy Apache s’auxeigne automatiquement dans le Dashboard Kubernetes à l’aide de la fonctionnalité nommée : AUTH HEADER.

Kubernetes dashboard Authorization bearer

Vous avez terminé avec succès la configuration d’Apache en tant que proxy pour le Dashboard Kubernetes.

Dashboard Kubernetes – Authentification Radius