• 使用教程
  • KubeSphere的LDAP认证,必须提前把用户加载进来才可以使用吗?

我们公司员工以及各乙方(服务外包的公司)用户共有几十万,接入AD认证后,同步一天也完成不了。
Openshift和Rancher等都是支持搜索和认证,不支持修改密码。咱们KubeSphere将用户数据同步过来,是为了让用户可以自己管理自己的密码吗?这种设计是否 可以做成可选的?

  • 2.1.1 版本ad-sidecar 有两个版本,v0.0.1 会把用户全部同步过来,用户量大这么做确实不适合。
    v0.0.2 只将登陆过kubeSphere的用户,同步到ks中进行管理。

    3.0 中会会提供类似openshift LDAP identity provider的方式进行配置,不再是全量同步用户。

2.1.1 版本ad-sidecar 有两个版本,v0.0.1 会把用户全部同步过来,用户量大这么做确实不适合。
v0.0.2 只将登陆过kubeSphere的用户,同步到ks中进行管理。

3.0 中会会提供类似openshift LDAP identity provider的方式进行配置,不再是全量同步用户。

    hongming
    后面会支持大写字母吗?
    我们的乙方用户,都是A开头的,例如:A003999

    hongming 我将v0.0.1的镜像换成了kubespheredev/ad-sidecar:v0.0.2,pod重启后,还是在继续同步用户

      Connor 应该是我把tag记错了,kubespheredev/ad-sidecar:v0.0.4这个是我重新push的一个image。
      代码在这里,https://github.com/wansir/kubesphere/blob/ad/cmd/ad-sidecar

      kubesphere中用户名需要用做关联的资源前缀所以会对用户名有限制(CRD也限制了命名格式),通过外部identity provider提供的认证用户,会映射为kubesphere用户,不满足格式要求的用户名可以在账户关联时重设,不会影响原账户的登陆。

        hongming 重新部署了一下,使用的v0.0.4版本,发现无法认证。我改回v0.0.1版本了。

        hongming v0.0.4认证失败,我看ad-account日志为:
        W0703 07:40:54.764441 1 client_config.go:549] Neither –kubeconfig nor –master was specified. Using the inClusterConfig. This might not work.
        I0703 07:40:59.639419 1 server.go:113] Server listening on 0.0.0.0:9090