本文目录:
- 1、k8s接入ldap
- 2、php ldap 用户认证的问题
- 3、目前在防火墙上提供了几种认证方法
- 4、Zabbix 认证方式配置为LDAP,倘若LDAP挂掉后该怎么办
k8s接入ldap
为了对接上 LDAP,可谓是煞费苦心。网上能找到的对接上 LDAP 的方案,都得在 LDAP 上自定义一个 token 的 schema,然后将在 k8s 集群上已创建好的 service account 的 token 跟 LDAP 绑定起来。这样,在进行 webhook 认证时,便能带着 token 去 LDAP 上进行认证。例如这里所描述的: Kubernetes-LDAP-Authentication 。另外,还有些是对接上 OpenID connect token,然后再这些服务提供系统那里对接上 LDAP,例如: Step by step guide to integrate LDAP with Kubernetes 。这种办法又觉得太复杂,麻烦了。
使用 webhook 进行 LDAP 认证,平常的用户名密码认证行不通的主要原因是 k8s apiserver 进行认证请求时,带过来只有用户名和 bearer token,没有密码。为了能够使用用户名密码和 bearer token 去 ldap 进行认证,这里做了些 trick 的东西。
如下图所示,客户端通过 nginx 访问 apiserver,在 nginx 一层里,配置了 auth-request,将 basic auth 的请求发送给后端的 ldap 认证代理,ldap 认证代理认证通过后,会随机生成一段 bearer token,并通过相应头部告诉给 nginx。nginx 收到这个响应头部后,就配置使用 bearer token 访问 apiserver。也就是说,请求到达 apiserver 的时候,使用的是 bearer token 这种方式进行认证。apiserver 收到请求后,会同时出发内部认证机制和 webhook 认证机制,webhook 认证在这里同样配置了 nginx 的 ldap 认证代理。由于 ldap 认证代理保存了所有经过 ldap 认证的用户的 bearer token,因此便可以通过 apiserver 带过来的 bearer token 成功认证用户!
如果需要更细粒度的权限控制,可以在 ldap 认证代理那里,接入公司的一些内部系统,根据不同的用户,返回不同的用户组即可。
php ldap 用户认证的问题
你好,我也遇到过这个问题.
我的解决方法是不用RDN,直接用DN.
希望能帮到你.
目前在防火墙上提供了几种认证方法
内置数据库认证,LDAP验证,证书认证,两要素认证。使用用于身份验证的内置数据库,防火墙包含一个内置的身份验证数据库。用户可以针对该数据库进行身份验证以进行访问。数据库通常配置有多个用户名和密码。使用内置的数据库身份验证易于配置且非常有效,但是此方法不可扩展。如果经常需要更改(例如用户频繁加入和离开),则防火墙数据库将需要不断更新。
Zabbix 认证方式配置为LDAP,倘若LDAP挂掉后该怎么办
Zabbix
认证方式有三种,分别是Internal、LDAP和HTTP。这里对认证方式不做过多解释。
假如我们将认证方式配置为LDAP,但是认证使用的账号被误删除,并且密码已经记不清了,或者LDAP系统挂掉,此时使用Zabbix初安装时的Admin/zabbix
账号密码组合是不能登陆的。这时我们该怎么办呢?
思路有两个:
1.
更改认证类型为Internal,然后使用Admin登陆,如果忘记密码,也可以重置Admin密码
2.
更新LDAP认证主机和Bind
DN
本文来源:https://www.yuntue.com/post/108389.html | 云服务器网,转载请注明出处!
微信扫一扫打赏
支付宝扫一扫打赏
