Connor 我们公司员工以及各乙方(服务外包的公司)用户共有几十万,接入AD认证后,同步一天也完成不了。 Openshift和Rancher等都是支持搜索和认证,不支持修改密码。咱们KubeSphere将用户数据同步过来,是为了让用户可以自己管理自己的密码吗?这种设计是否 可以做成可选的?
hongming 2.1.1 版本ad-sidecar 有两个版本,v0.0.1 会把用户全部同步过来,用户量大这么做确实不适合。 v0.0.2 只将登陆过kubeSphere的用户,同步到ks中进行管理。 3.0 中会会提供类似openshift LDAP identity provider的方式进行配置,不再是全量同步用户。
hongming Connor 应该是我把tag记错了,kubespheredev/ad-sidecar:v0.0.4这个是我重新push的一个image。 代码在这里,https://github.com/wansir/kubesphere/blob/ad/cmd/ad-sidecar。 kubesphere中用户名需要用做关联的资源前缀所以会对用户名有限制(CRD也限制了命名格式),通过外部identity provider提供的认证用户,会映射为kubesphere用户,不满足格式要求的用户名可以在账户关联时重设,不会影响原账户的登陆。
Connor hongming v0.0.4认证失败,我看ad-account日志为: W0703 07:40:54.764441 1 client_config.go:549] Neither –kubeconfig nor –master was specified. Using the inClusterConfig. This might not work. I0703 07:40:59.639419 1 server.go:113] Server listening on 0.0.0.0:9090