ysicing 这里的managerDN 和managerPWD 可以是只读的管理账号,用于账户认证

      hongming 我知道,但是这个权限管的比较严。这样的设计有点不太合理。或者可以支持考虑支持
      oauth登录

          ysicing 接入 AD 账号这样的操作本来也应该是管理员级别的角色来操作吧,managerPWD也仅仅是管理账号的密码,接入KubeSphere后 AD 域内的账号还是可以用他们之前默认的帐密登录呀。

            Feynman 更改标题为「KubeSphere 如何接入 AD 域账号

            请问接入AD后,能否把用户名显示为 DisplayName,或者提供这样一个字段可以配置,目前只能显示 sAMAccountName 作为显示名称。管理上有所不便

            和k8s 中其他资源名一样 , kubesphere 中的username 也必须是唯一值,目前版本还无法展示displayName,可以到 gitub 上建立相关的issue方便追踪,最快将在 2.1.1 支持 displayName 属性

            非常感谢楼主,按照操作,KubeSphere 可实现接入 AD 域账号,但是在测试中发现有两个问题:
            1.AD 域,增加了用户,并不会KubeSphere显示,需要再次运行脚本,能否在KubeSphere增加同步账号功能?
            2.如果有多个AD 域,我尝试分别创建两个脚本,但是只能一个AD 域能够显示,这种情况如何解决?

            1. 配置中默认的同步时间是5分钟,可以调整
            2. 暂时无法接入多个AD域

              接入 AD / LDAP 的脚本与 KubeSphere 后端都是开源的,大家如果都对 LDAP / AD 接入有迫切需求 可以提 PR 参与开发和改进脚本,共同参与去解决 common issue,这才是开源项目的本质哈

              用这个方式成功同步了AD帐号,之前一直都能用,今天早上来发现ad帐号无法登陆了,提示帐号密码错误,admin帐号是可以登陆的,这个是2.1完全新部署的,老的2.0.2版本的ks用同样的帐号是可以登陆的,ad服务器应该没有问题,不知是何原因,3个ks-account的日志如图:

                winter 看样子是sidecar 被覆盖掉了,kubectl -n kubesphere-system get deploy ks-account -o yaml看看sidecar 还在不在, 如果没有sidecar 这个container 的话,需要重新跑一下脚本

                    hongming 那天重跑了脚本可以登录了,但是今天又登录不了了,而且这次连admin都登录不了了,提示密码错误,但是密码肯定对的,在jenkins用admin帐号是可以登录的,当时那个是没有sidecar了,不知什么原因没了,这次是有sidecar的,admin在ks-account里的日志是报无效的授权,域帐号我在ad服务器上看到的日志是未知的帐号或密码错误

                        winter 这种情况我也遇到过,不知道如何解决,后来我又重新部署了一次,期待。。。

                          是否可以考虑支持oatuh2统一认证,场景:和其他应用集成在一起,不需要二次登陆。

                            15 天 后

                            请问LDAP接入和AD接入一样吗,刚接触不是很了解。大家有 接入LDAP吗

                            是一样的,schema 会有些区别

                            求帮看个问题,我接了一下我们公司的ldap,同步报了这样的错:

                            求问是什么原因导致的?
                            ( 看到报错里有具体的行数,能讲下源码是在哪儿的吗?