المصادقة في Kubernetes باستخدام Dex: اربط LDAP

1. قم بتثبيت OpenLDAP وقم بتكوين دعم STARTTLS عليه. 
2. نصف هيكل LDAP لمنظمتنا .
3. تمكين دعم OIDC (OpenID Connect) على خوادم kube-api .
   
4. احصل على شهادة SAN للنطاقات التي سيستخدمها Dex .
5. قم بتثبيت Dex و Dex-auth ، حيث نقوم بوصف دليل LDAP والمستخدمين الساكنين . 
6. سنقوم بإنشاء kubeconfig لمستخدمنا للعمل مع الكتلة .
7. قم بإعداد مصادقة RBAC للمجموعات والمستخدمين في المجموعة .

تثبيت وتكوين خادم OpenLDAP

1. نحن متصلون بالخادم ونبدأ في تثبيت OpenLDAP. أثناء التثبيت ، سيُطلب منا تعيين كلمة مرور:
   
   

   sudo apt update 
   sudo apt install slapd ldap-utils
   

   
   
2. إعادة تكوين OpenLDAP لنطاقنا:
   
   

   sudo dpkg-reconfigure slapd 
   

   
   
3. اختر لا :
   
   
   
4. أدخل اسم المجال:
   
   
   
5. أدخل اسم المنظمة:
   
   
   
6. كرر إدخال كلمة المرور:
   
   
   
7. نضمن دعم STARTTLS. نضع الحزم اللازمة:
   
   

   sudo apt install gnutls-bin ssl-cert
   

   
   
8. CA-:
   
   

   sudo sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"
   

   
   
9. /etc/ssl/ca.info:
   
   

   cn = DTLN Company
   ca
   cert_signing_key
   

   
   
10. CA-a , :
    
    

    sudo certtool --generate-self-signed --load-privkey /etc/ssl/private/cakey.pem --template /etc/ssl/ca.info --outfile /etc/ssl/certs/cacert.pem
    sudo certtool --generate-privkey --bits 1024 --outfile /etc/ssl/private/openldap_key.pem
    

    
    
11. /etc/ssl/openldap.info:
    
    

    organization = DTLN Company
    cn = openldap.dtln.cloud
    tls_www_server
    encryption_key
    signing_key
    expiration_days = 3650
    

    
    
12. :
    
    

    sudo certtool --generate-certificate --load-privkey /etc/ssl/private/openldap_key.pem --load-ca-certificate /etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem --template /etc/ssl/openldap.info --outfile /etc/ssl/certs/openldap.pem
    

    
    
13. OpenLDAP STARTTLS. certinfo.dif:
    
    

    dn: cn=config
    add: olcTLSCACertificateFile
    olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
    -
    add: olcTLSCertificateFile
    olcTLSCertificateFile: /etc/ssl/certs/openldap.pem
    -
    add: olcTLSCertificateKeyFile
    olcTLSCertificateKeyFile: /etc/ssl/private/openldap_key.pem
    

    
    
14. :
    
    

    sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.dif
    

    
    
15. :
    
    

    sudo chgrp openldap /etc/ssl/private/openldap_key.pem
    sudo chmod 0640 /etc/ssl/private/openldap_key.pem
    sudo gpasswd -a openldap ssl-cert
    sudo systemctl restart slapd.service
    

    
    
16. , /etc/ldap/ldap.conf :
    
    

    TLS_CACERT /etc/ssl/certs/cacert.pem
    

    
    
17. STARTTLS:
    
    

    ldapwhoami -H ldap://openldap.dtln.cloud -x -ZZ
    

    
    :
    
    
    
    :
    
    

LDAP-

1. , x , Kubernetes. content.ldif:
   
   

   dn: ou=People,dc=openldap,dc=dtln,dc=cloud
   objectClass: organizationalUnit
   ou: People
   dn: cn=jane,ou=People,dc=openldap,dc=dtln,dc=cloud
   objectClass: person
   objectClass: inetOrgPerson
   sn: doe
   cn: jane
   mail: janedoe@openldap.dtln.cloud
   userpassword: foo_password
   
   dn: cn=john,ou=People,dc=openldap,dc=dtln,dc=cloud
   objectClass: person
   objectClass: inetOrgPerson
   sn: doe
   cn: john
   mail: johndoe@openldap.dtln.cloud
   userpassword: bar_password
   
   # Group definitions.
   
   dn: ou=Groups,dc=openldap,dc=dtln,dc=cloud
   objectClass: organizationalUnit
   ou: Groups
   
   dn: cn=admins,ou=Groups,dc=openldap,dc=dtln,dc=cloud
   objectClass: groupOfNames
   cn: admins
   member: cn=jane,ou=People,dc=openldap,dc=dtln,dc=cloud
   
   dn: cn=developers,ou=Groups,dc=openldap,dc=dtln,dc=cloud
   objectClass: groupOfNames
   cn: developers
   member: cn=jane,ou=People,dc=openldap,dc=dtln,dc=cloud
   member: cn=john,ou=People,dc=openldap,dc=dtln,dc=cloud
   

   
   
2. قم بتوسيع الهيكل الموصوف باستخدام الأمر:
   
   

   ldapadd -x -D cn=admin,dc=openldap,dc=dtln,dc=cloud -W -f content.ldif
   

   
   
3. تأكد من وجود مستخدمينا في الدليل:
   
   

   ldapwhoami -vvv -h openldap.dtln.cloud -p 389 -D cn=john,ou=People,dc=openldap,dc=dtln,dc=cloud -x -w bar_password -ZZ
   ldapwhoami -vvv -h openldap.dtln.cloud -p 389 -D cn=jane,ou=People,dc=openldap,dc=dtln,dc=cloud -x -w foo_password -ZZ
   

نقوم بتوصيل الدعم لـ OpenID Connect

1. نقوم بتحرير الوحدة /etc/systemd/system/kube-apiserver.service وإضافة معلمات بدء التشغيل إلى قسم ExecStart :
   
   

   --oidc-client-id=dex-k8s-authenticator \
   --oidc-groups-claim=groups \
   --oidc-username-claim=email \
   --oidc-issuer-url=https://dex.ash.dtln.cloud/ \
   

2. نعيد تشغيل واجهات برمجة التطبيقات ، ونتحقق من ارتفاعها:
   
   

   sudo systemctl daemon-reload
   sudo systemctl restart kube-apiserver
   sudo systemctl status kube-apiserver
   

إنشاء شهادة متعددة المجالات

1. نقوم بتثبيت Cert-Manager باستخدام Helm: 
   
   

   helm repo add jetstack https://charts.jetstack.io
   helm repo update
   helm install cert-manager --namespace kube-system jetstack/cert-manager --version v0.13.0
   

   
   
2. نحن نصف طلب شهادة SAN لنطاقاتنا في cert.yml:
   
   

   ---
   apiVersion: cert-manager.io/v1alpha2
   kind: ClusterIssuer
   metadata:
     name: letsencrypt-dex
   spec:
     acme:
       email: kubernetes@dataline.ru
       server: https://acme-v02.api.letsencrypt.org/directory
       privateKeySecretRef:
         name: letsencrypt-key-dex
       solvers:
       - http01:
           ingress:
             class: nginx
   ---
   apiVersion: cert-manager.io/v1alpha2
   kind: Certificate
   metadata:
     name: auth-dex
     namespace: kube-system
   spec:
     secretName: cert-auth-dex
     issuerRef:
       kind: ClusterIssuer
       name: letsencrypt-dex
     commonName: dex.ash.dtln.cloud
     dnsNames:
     - dex.ash.dtln.cloud
     - login.ash.dtln.cloud
   

   
   
3. نقوم بتنفيذ الأمر:
   
   

   kubectl apply -f cert.yaml
   

   
   
4. الآن نلقي نظرة على حالة طلب الشهادة بالأوامر التالية: 
   
   

   kubectl get certificates --all-namespaces
   kubectl get challenges --all-namespaces
   

   
   
5. نحن في انتظار التأكيد ، قد تستغرق العملية بعض الوقت:
   
   
   

تثبيت Dex

1. قم بتنزيل مصادر dex-Authentator وانتقل إلى الدليل:
   
   

   git clone git@github.com:mintel/dex-k8s-authenticator.git
   cd dex-k8s-authenticator/
   

   
   
2. نقوم بإعداد التهيئة لـ Dex-auth ، ولصق محتويات ca.crt المنسوخة سابقًا ، من المهم وضع مسافة بادئة:
   
   

   ---
   global:
     deployEnv: prod
   dexK8sAuthenticator:
     clusters:
       - name: 'ash.dtln.cloud'
         short_description: "k8s cluster"
         description: "Kubernetes cluster"
         issuer: https://dex.ash.dtln.cloud/
         k8s_master_uri: https://kubernetes.dtln.cloud:6443 # url or ip
         client_id: dex-k8s-authenticator
         static_context_name: false
         client_secret: acDEgDEcIg7RX0U7A9hlW2pGGraHDuMAZ4qFEKg2fUHHxr8
         redirect_uri: https://login.ash.dtln.cloud/callback
         k8s_ca_pem: |
           -----BEGIN CERTIFICATE-----
           #   ca.crt
           -----END CERTIFICATE-----
   ingress:
     enabled: true
     annotations:
       kubernetes.io/ingress.class: nginx
       kubernetes.io/tls-acme: "true"
     path: /
     hosts:
       - login.ash.dtln.cloud
     tls:
       - secretName: cert-auth-dex
         hosts:
           - login.ash.dtln.cloud
   
   

   
   
3. نقوم بترجمة محتويات cacert.pem إلى base64 لإضافته إلى التكوين:
   
   

   cacert.pem | base64
   

   
   
4. Dex, . staticPasswords bcrypt:
   
   

   ---
   global:
     deployEnv: prod
   tls:
     certificate: |-
       -----BEGIN CERTIFICATE-----
       # ca.crt
       -----END CERTIFICATE-----
     key: |-
       -----BEGIN RSA PRIVATE KEY-----
       # ca.key
       -----END RSA PRIVATE KEY-----
   ingress:
     enabled: true
     annotations:
       kubernetes.io/ingress.class: nginx
       kubernetes.io/tls-acme: "true"
     path: /
     hosts:
       - dex.ash.dtln.cloud
     tls:
       - secretName: cert-auth-dex
         hosts:
           - dex.ash.dtln.cloud
   serviceAccount:
     create: true
     name: dex-auth-sa
   config:
     issuer: https://dex.ash.dtln.cloud/
     storage:
       type: kubernetes
       config:
         inCluster: true
     web:
       http: 0.0.0.0:5556
     frontend:
       theme: "coreos"
       issuer: "kube-dtln"
       issuerUrl: "https://login.ash.dtln.cloud"
     expiry:
       signingKeys: "6h"
       idTokens: "24h"
     logger:
       level: debug
       format: json
     oauth2:
       responseTypes: ["code", "token", "id_token"]
       skipApprovalScreen: true
   
     connectors:
     - type: ldap
       id: ldap
       name: LDAP
       config:
         insecureNoSSL: false
         insecureSkipVerify: false
         startTLS: true #   
         rootCAData: |-
           # cacert.pem  base64 
           # 
        
         host: openldap.dtln.cloud:389
         usernamePrompt: Email Address
         userSearch:
           baseDN: ou=People,dc=openldap,dc=dtln,dc=cloud
           filter: "(objectClass=person)"
           username: mail
           idAttr: DN
           emailAttr: mail
           nameAttr: cn
         groupSearch:
           baseDN: ou=Groups,dc=openldap,dc=dtln,dc=cloud
           filter: "(objectClass=groupOfNames)"
   
           userMatchers:
           - userAttr: DN
             groupAttr: member
   
           nameAttr: cn
   
     staticClients:
     - id: dex-k8s-authenticator
       name: Kubernetes Dev Cluster
       secret: 'acDEgDEcIg7RX0U7A9hlW2pGGraHDuMAZ4qFEKg2fUHHxr8'
       redirectURIs:
         - https://login.ash.dtln.cloud/callback
   
     enablePasswordDB: True
   
     staticPasswords:
       #       base64
     - email: "admin@dtln.cloud"
       # bcrypt hash of the string "password"
       hash: "$2a$10$2b2cU8CPhOTaGrs1HRQuAueS7JTT5ZHsHSzYiFPm1leZck7Mc8T4W"
       username: "admin"
       userID: "08a8684b-db88-4b73-90a9-3cd1661f5466"
   
   

   
   
5. dex dex-auth- :
   
   

   helm install dex --namespace kube-system --values dex.yaml charts/dex
   helm install dex-auth --namespace kube-system --values dex-auth.yml charts/dex-k8s-authenticator
   

   
   

kubeconfig

1. , pod’. login.ash.dtln.cloud. , mail- . 
   
   static- mail:
   
   
   
2.  Dex-auth. C kubeconfig-. :
   
   
   
3. حاول الآن الوصول إلى الكتلة والحصول على خطأ. هذا صحيح ، مستخدمنا ليس لديه حقوق ، لذلك دعنا ننتقل إلى إعداد RBAC.
   
   
   

نحن تكوين تفويض RBAC

1. على سبيل المثال ، نقوم بتعيين المستخدم الثابت لدور نظام إدارة الكتلة ، ومستخدمي مجموعة المطورين لدور العرض ، والذي يسمح فقط بعرض الموارد. ثم يجب أن تكون محتويات ملف crb.yml كما يلي:
   
   

   ---
   apiVersion: rbac.authorization.k8s.io/v1beta1
   kind: ClusterRoleBinding
   metadata:
     name: dex-admin
     namespace: kube-system
   roleRef:
     apiGroup: rbac.authorization.k8s.io
     kind: ClusterRole
     name: cluster-admin
   subjects:
   - kind: User
     name: "admin@dtln.cloud"
   
   ---
   apiVersion: rbac.authorization.k8s.io/v1beta1
   kind: ClusterRoleBinding
   metadata:
     name: dex-developers
     namespace: kube-system
   roleRef:
     apiGroup: rbac.authorization.k8s.io
     kind: ClusterRole
     name: view
   subjects:
   - kind: Group
     name: "developers"
   

   
   
2. التبديل إلى السياق الرئيسي وتطبيق ملف yaml الذي تم إنشاؤه على الكتلة:
   
   

   kubectl config set-context default
   kubectl apply -f crb.yml
   

   
   
3. نحن ننظر إلى السياقات المتاحة ونرجع إلى مستخدمنا:
   
   

   kubectl config get-contexts
   kubectl config set-context johndoe-ash.dtln.cloud
   

• إذا ظهرت مشاكل ، فإن أول شيء يجب التحقق منه هو تنسيق ملفات yaml والانتباه إلى المسافة البادئة. 
  
• يجب أن تتطابق الخطوط المائلة في العناوين مع الأمثلة. 
  
• pod’ Dex, Dex-auth, kube-api .