Kubernetes Dashboard - Radius-godkjenning

Vil du lære hvordan du konfigurerer Radius-godkjenningen av Kubernetes Dashboard med Freeradius? I denne opplæringen skal vi vise deg hvordan du autentiserer Kubernetes Dashboard-brukere ved hjelp av Radius-protokollen og Freeradius-tjenesten på en datamaskin som kjører Ubuntu Linux.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18

Denne opplæringen vil installere en enkeltnode Kubernetes klynge.

I vårt eksempel er IP-adressen til Kubernetes hovednode 192.168.15.200.

I vårt eksempel er IP-adressen til Radius-serveren 192.168.15.10.

Kubernetes – Guider

På denne siden tilbyr vi rask tilgang til en liste over tutorials knyttet til Kubernetes.

Tutorial – FreeRadius Server Installasjon på Ubuntu Linux

• IP – 192.168.15.10
• Operacional System – Ubuntu 20
• Vertsnavn – FREERADIUS

Bruk følgende kommandoer på Linux-konsollen til å installere FreeRadius-tjenesten.

Copy to Clipboard

Nå må vi legge freeradius klienter til clients.conf;.

Finn og rediger clients.conf.

Copy to Clipboard

Legg til følgende linjer på slutten av filen clients.conf.

Copy to Clipboard

I vårt eksempel legger vi til 1 klientenhet:

Enheten ble kalt KUBERNETES og har IP-adressen 192.168.15.200.

I vårt eksempel setter vi hemmeligheten: KAMISAMA123.

Nå må vi legge til FreeRadius-brukere i BRUKER-konfigurasjonsfilen.

Finn og rediger Konfigurasjonsfilen for Freeradius-brukere.

Copy to Clipboard

Legge til følgende linjer på slutten av filen

Copy to Clipboard

I vårt eksempel oppretter vi en brukerkonto med navnet ADMIN.

Start Freeradius-serveren på nytt.

Copy to Clipboard

Test konfigurasjonsfilen for radiusserveren.

Copy to Clipboard

Du er ferdig med Freeradius-installasjonen på Ubuntu Linux.

Tutorial Kubernetes – Master node Installasjon

Installer listen over nødvendige pakker.

Copy to Clipboard

Installer Docker-tjenesten.

Copy to Clipboard

Aktiver Docker-tjenesten under oppstart.

Copy to Clipboard

Rediger konfigurasjonsfilen for Docker-tjenesten.

Copy to Clipboard

Legg til følgende konfigurasjon på slutten av elementet med navnet: EXECSTART

Copy to Clipboard

Her er filen før konfigurasjonen vår.

Copy to Clipboard

Her er filen etter konfigurasjonen vår.

Copy to Clipboard

Opprett en systemkonfigurasjonsfil.

Copy to Clipboard

Her er filinnholdet.

Copy to Clipboard

Aktiver systemkonfigurasjonsfilen.

Copy to Clipboard

Rediger konfigurasjonsfilen med navnet MODULES. Conf

Copy to Clipboard

Legg til følgende konfigurasjon på slutten av denne filen.

Copy to Clipboard

Rediger konfigurasjonsfilen for FSTAB, og deaktiver bruken av Swap-minne.

Copy to Clipboard

Her er filen før konfigurasjonen vår.

Copy to Clipboard

Her er filen etter konfigurasjonen vår.

Copy to Clipboard

Angi et unikt vertsnavn.

Copy to Clipboard

Opprett en fil for å konfigurere de nødvendige miljøvariablene.

Copy to Clipboard

Her er filinnholdet.

Copy to Clipboard

Start datamaskinen på nytt.

Copy to Clipboard

Last ned og installer Kubernetes-repositoriumnøkkelen.

Copy to Clipboard

Legg til det offisielle Kubernetes-repositoriet.

Copy to Clipboard

Installer Kubernetes-pakkene.

Copy to Clipboard

Last ned de nødvendige Kubernetes-bildene.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Initialiser Kubernetes-klyngen.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Legg merke til kommandoen for å legge til noder i Kubernetes-klyngen.

Copy to Clipboard

Angi riktig filtillatelse på Kubernetes konfigurasjonsfilen.

Copy to Clipboard

Installer den nødvendige nettverkskonfigurasjonen.

Copy to Clipboard

Kubernetes-hovednoden har som standard ikke lov til å kjøre PODS.

Du kan eventuelt aktivere Kubernetes hovednode for å kjøre PODS.

Copy to Clipboard

I vårt eksempel bruker vi en kubernetes-klynge med én node.

Opplæring – Kubernetes Dashboard installasjon

Installer listen over nødvendige pakker.

Copy to Clipboard

Last ned den nødvendige YAML-filen.

Copy to Clipboard

Installer Kubernetes dashboard.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Opprett en servicekonto for instrumentbordet.

Copy to Clipboard

Konfigurere klyngeadministratorrollen til tjenestekontoen for instrumentbordet.

Copy to Clipboard

Opprett en tjenestekonto for Apache-proxyen.

Copy to Clipboard

Konfigurer klyngeadministratorrollen til Apache-proxy-kontoen.

Copy to Clipboard

Oppgi Apache-hemmeligheten som er tilgjengelig på Kubernetes-serveren.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Legg merke til at hemmelighetens navn ikke vil være det samme som vårt.

Få verdien av Apache hemmelige token.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Name:         apache-proxy-token-8gk9p
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: apache-proxy
              kubernetes.io/service-account.uid: e07884b4-282c-4ef1-8662-e2a3eaf3c448

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1025 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhcGFjaGUtcHJveHktdG9rZW4tOGdrOXAiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiYXBhY2hlLXByb3h5Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiZTA3ODg0YjQtMjgyYy00ZWYxLTg2NjItZTJhM2VhZjNjNDQ4Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmUtc3lzdGVtOmFwYWNoZS1wcm94eSJ9.qKzSvCYOqDfvJ1S9W4-nEzZScmGwjYsi3g5df542_aDyZRugbiWbFmjrBTB70tDwuGTeupbPmS3ptweyjbb_7K5VbSk-2zCazgNeiCZ_q7M4yXgPi6rNYNiBX9pQEBaBQCWgH8-VVFGe34xrLR88cv9YNLfH9ZzrdJf2jPEBhptvdVKr6Ljpbhz-4P-mr5_IRsru_72wsRRZZptL80ARp6PkPdrYIQZ3bMQNsq3GEWxMl8SRPVqEuvVXykxfEt1Hx5URwtiwh_MLEZ5ClCIuGsGs8fWQhCLm_l0SY6p9B2DmU-XhhT_HjuotDI3pm2p5pJb9WmO4dMLx_NsBnLSz_Q

Legg merke til Apache-tokenverdien.

I vårt eksempel er dette tokenverdien:

Copy to Clipboard

Oppgi IP-adressen til instrumentbordtjenesteklyngen.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Legg merke til klyngens IP-adresse og TCP-port.

I vårt eksempel bruker instrumentbordklyngen TCP-port 443 og IP-adressen 10.107.55.24.

Du er ferdig med den nødvendige instrumentbordkonfigurasjonen.

Kubernetes Proxy – Radius-godkjenning ved hjelp av Apache

Installer Apache-serveren på hovednoden.

Copy to Clipboard

Aktiver de nødvendige Apache-modulene.

Copy to Clipboard

Rediger Apache-konfigurasjonsfilen.

Copy to Clipboard

Legg til følgende linjer på slutten av denne filen.

Copy to Clipboard

Opprett en privat nøkkel og sertifikat ved hjelp av kommandoen OpenSSL.

Copy to Clipboard

Angi den forespurte informasjonen.

Copy to Clipboard

I alternativet kalt COMMON_NAME må du angi IP-adressen eller vertsnavnet.

I vårt eksempel bruker vi IP-adressen: 192.168.15.200

Konverter ditt eksisterende Kubernetes proxy-sertifikat og nøkkelen til en enkelt fil i PEM-format.

Copy to Clipboard

Rediger Apache-konfigurasjonsfilen for standardnettstedet.

Copy to Clipboard

Her er filen, før vår konfigurasjon.

Copy to Clipboard

Her er filen, etter vår konfigurasjon.

Copy to Clipboard

<VirtualHost *:80>
        RewriteEngine On
        RewriteCond %{HTTPS} !=on
        RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]
</virtualhost>
<VirtualHost *:443>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
        SSLEngine on
        SSLCertificateFile /etc/apache2/certificate/apache-certificate.crt
        SSLCertificateKeyFile /etc/apache2/certificate/apache.key
        SSLProxyEngine On
        SSLProxyVerify none
        SSLProxyCheckPeerCN off
        SSLProxyCheckPeerName off
        SSLProxyCheckPeerExpire off
        SSLProxyCACertificateFile /etc/kubernetes/pki/ca.crt
        SSLProxyMachineCertificateFile /etc/apache2/certificate/front-proxy-client.pem
        RequestHeader set Authorization "Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJ cm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm hbWUiOiJhcGFjaGUtcHJveHktdG9rZW4tOGdrOXAiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiYXBhY2hlLXByb3h5Iiwia3ViZXJuZXRlcy5pby9zZ J2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiZTA3ODg0YjQtMjgyYy00ZWYxLTg2NjItZTJhM2VhZjNjNDQ4Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmUtc3lzdGVtOmFw WNoZS1wcm94eSJ9.qKzSvCYOqDfvJ1S9W4-nEzZScmGwjYsi3g5df542_aDyZRugbiWbFmjrBTB70tDwuGTeupbPmS3ptweyjbb_7K5VbSk-2zCazgNeiCZ_q7M4yXgPi6rNYNiBX9pQEBaBQCWgH8-VVF e34xrLR88cv9YNLfH9ZzrdJf2jPEBhptvdVKr6Ljpbhz-4P-mr5_IRsru_72wsRRZZptL80ARp6PkPdrYIQZ3bMQNsq3GEWxMl8SRPVqEuvVXykxfEt1Hx5URwtiwh_MLEZ5ClCIuGsGs8fWQhCLm_l0SY p9B2DmU-XhhT_HjuotDI3pm2p5pJb9WmO4dMLx_NsBnLSz_Q"
<Location />
        AuthType Basic
        AuthName "Secure area - Authentication required"
        AuthBasicAuthoritative Off
        AuthBasicProvider radius
        AuthRadiusAuthoritative on
        AuthRadiusActive On
        Require valid-user
        ProxyPass  https://10.107.55.24:443/
        ProxyPassReverse  https://10.107.55.24:443/
</Location>
AddRadiusAuth 192.168.15.10:1812 kamisama123 5:3
</VirtualHost>

Endre IP-adressen til konfigurasjonselementet ADDRADIUSAUTH til IP-adressen til Radius-serveren.

Endre IP-adressen til konfigurasjonselementene som heter PROXYPASS og PROXYPASSREVERSE, til IP-adressen til instrumentbordklyngen.

Endre tokenverdien for CI kalt REQUESTHEADER til Apache hemmelig token verdi opprettet tidligere.

I vårt eksempel aktiverte vi bruk av HTTPS ved hjelp av selvsignerte sertifikater.

Copy to Clipboard

I vårt eksempel konfigurerte vi bruken av RADIUS-godkjenning.

Copy to Clipboard

Apache vil representere HTTPS-kommunikasjon mellom brukeren og Dashboard cluster IP-adressen.

Copy to Clipboard

Apache vil bruke et sertifikat og en nøkkel som opprettes automatisk under Kubernetes-serverinstallasjonen til å utføre gjensidig TLS-godkjenning på dashbordet.

Copy to Clipboard

Apache-serveren vil legge til en overskrift i alle pakker som sendes til dashbordet.

Dette hodet heter AUTHORIZATION BEARER og inneholder det hemmelige tokenet som ble opprettet tidligere i Apache-proxyen.

Copy to Clipboard

Apache vil også omdirigere HTTP-brukere til HTTPS-versjonen av den forespurte NETTADRESSEN.

Copy to Clipboard

Start Apache-tjenesten på nytt.

Copy to Clipboard

Åpne nettleseren din og få tilgang til HTTPS-versjonen av Apache-serverens IP-adresse.

I vårt eksempel ble følgende URL lagt inn i nettleseren:

• Https://192.168.15.200

Apache-serveren krever at du utfører brukerautentisering.

Kubernetes Dashboard Proxy Authentication

Etter en vellykket pålogging skal Kubernetes Dashboard vises.

Apache-proxyen vil automatisk godkjennes til Kubernetes Dashboard ved hjelp av funksjonen kalt AUTH HEADER.

Kubernetes dashboard Authorization bearer

Du har fullført konfigurasjonen av Apache som proxy for Kubernetes Dashboard.

Kubernetes Dashboard – Radius-godkjenning