Hola a todos!!! En este post hablaremos sobre como integrar OpenShift con Active Directory, añadiendo nuestro dominio AD como OAuth Provider en un cluster OpenShift
Que necesitamos
Para poder completar esta integración necesitaremos:
- Un cluster OpenShift ya desplegado y totalmente operativo
- Un dominio Active Directory accesible desde el cluster OpenShift
- Usuarios y grupos de Active Directory que posteriormente utilizaremos para autenticarnos en OpenShift
Integración de OpenShift con LDAP/AD
Lo primero que deberemos llevar a cabo, es la integración de OpenShift con Active Directory (LDAP), de manera de utilizar AD como Identity Provider.
- Nos dirigimos a la consola web de OCP y vamos a Administration –> Cluster Settings –> Global Configuration –> Oauth
- En la parte inferior, en la sección Identity Provider, hacemos click en Add y luego en LDAP.
- Llenamos el formulario con los siguientes datos:
- Name: Identificador unico para el Identity Provider
- URL: URL de conexion con AD
- Bind DN: DN del usuario con el que nos conectaremos a AD.
- Bind Password: Password del usuario para conectarnos a AD.
- ID: name
- Prefered username: sAMAccountName
- Name: cn
- Email: UserPrincipalName
- Hacemos click en Add para finalizar la creación del Identity Provider
Opcionalmente podemos simplemente editar el fichero YAML de OAuth y añadir los siguientes datos:
Sincronizar los grupos de AD con OpenShift
Una vez creado el Identity Provider para integrar OpenShift con AD, lo siguiente será sincronizar los grupos de AD en OpenShift para que este ultimo pueda conocer los usuarios que pertenecen a los grupos requeridos.
- Creamos un fichero YAML con la configuracion requerida para sincronizar los grupos de AD que necesitemos, en mi caso los grupos ocpadmins (para gestionar OCP) y k10admins (para gestionar Kasten).
[/fusion_text]
- Ejecutamos el siguiente comando para sincronizar ambos grupos de AD para que sean visible en Openshift
- Finalmente aplicamos el rol requerido para cada grupo. En este punto, le aplicaremos el clusterrole cluster-admin al grupo ocpadmins.
- Si nos conectamos ahora a nuestro cluster OpenShift, veremos que tenemos el Identity Provider para autenticarnos (HomeLab AD). Utilizamos un usario del grupo ocpadmins para probar la autenticación.
Con esto ya tenemos integrado nuestro dominio Active Directory como proveedor OAuth en OpenShift. OAuth se puede utilizar para que otras aplicaciones corriendo en OpenShift puedan utilizar la autenticación mendiante los OAuth providers configurados, en este caso, Active Directory.
Gracias!!!
[…] Active Directory configurado como OAuth Provider en OpenShift […]