Hola a todos!!! En este post hablaremos sobre como integrar OpenShift con Active Directory, añadiendo nuestro dominio AD como OAuth Provider en un cluster OpenShift

Que necesitamos

Para poder completar esta integración necesitaremos:

  • Un cluster OpenShift ya desplegado y totalmente operativo
  • Un dominio Active Directory accesible desde el cluster OpenShift
  • Usuarios y grupos de Active Directory que posteriormente utilizaremos para autenticarnos en OpenShift

Integración de OpenShift con LDAP/AD

Lo primero que deberemos llevar a cabo, es la integración de OpenShift con Active Directory (LDAP), de manera de utilizar AD como Identity Provider.

  • Nos dirigimos a la consola web de  OCP y vamos a Administration –> Cluster Settings –> Global Configuration –> Oauth
  • En la parte inferior, en la sección Identity Provider, hacemos click en Add y luego en LDAP.

  • Llenamos el formulario con los siguientes datos:
    • Name: Identificador unico para el Identity Provider
    • URL: URL de conexion con AD
    • Bind DN: DN del usuario con el que nos conectaremos a AD.
    • Bind Password: Password del usuario para conectarnos a AD.
    • ID: name
    • Prefered username: sAMAccountName
    • Name: cn
    • Email: UserPrincipalName

  • Hacemos click en Add para finalizar la creación del Identity Provider

 

Opcionalmente podemos simplemente editar el fichero YAML de OAuth y añadir los siguientes datos:

Copy to Clipboard

 

 

Sincronizar los grupos de AD con OpenShift

Una vez creado el Identity Provider para integrar OpenShift con AD, lo siguiente será sincronizar los grupos de AD en OpenShift para que este ultimo pueda conocer los usuarios que pertenecen a los grupos requeridos.

  • Creamos un fichero YAML con la configuracion requerida para sincronizar los grupos de AD que necesitemos, en mi caso los grupos ocpadmins (para gestionar OCP) y k10admins (para gestionar Kasten).

[/fusion_text]

Copy to Clipboard

  • Ejecutamos el siguiente comando para sincronizar ambos grupos de AD para que sean visible en Openshift

Copy to Clipboard

 

  • Finalmente aplicamos el rol requerido para cada grupo.  En este punto, le aplicaremos el clusterrole cluster-admin al grupo ocpadmins.

Copy to Clipboard

  • Si nos conectamos ahora a nuestro cluster OpenShift, veremos que tenemos el Identity Provider para autenticarnos (HomeLab AD). Utilizamos un usario del grupo ocpadmins para probar la autenticación.

 

Con esto ya tenemos integrado nuestro dominio Active Directory como proveedor OAuth en OpenShift.  OAuth se puede utilizar para que otras aplicaciones corriendo en OpenShift puedan utilizar la autenticación mendiante los OAuth providers configurados, en este caso, Active Directory.

 

Gracias!!!