GA版怎么对接ldap或oauth2?

ColinShih

GA版怎么对接ldap或oauth2？是需要另外安装组件还是直接在平台设置中配置？

hongming

LDAP配置

修改kubesphere-config 配置

kubectl -n kubesphere-system edit cm kubesphere-config

参考如下配置中identityProviders部分

 authentication:
   authenticateRateLimiterMaxTries: 10
   authenticateRateLimiterDuration: 10m
   recordRetentionPeriod: 10s
   multipleLogin: true
   jwtSecret: "xxxxxx"
   oauthOptions:
     accessTokenMaxAge: 1h
     accessTokenInactivityTimeout: 30m
     identityProviders:
       - name: ldap
         type: LDAPIdentityProvider
         mappingMethod: auto
         provider:
           host: 192.168.0.2:389
           managerDN: uid=root,cn=users,dc=nas
           managerPassword: 123456
           userSearchBase: cn=users,dc=nas
           loginAttribute: uid
           mailAttribute: mail

重启ks-apiserver

kubectl -n kubesphere-system rollout restart deploy/ks-apiserver

ColinShih

只改动了providor字段内容，但apiserver有如图报错，帮忙看下，3Q

hongming

ColinShih

增加identityProvider之后可以正常登录吗，图中错误信息和accessTokenMaxAge的配置有关，https://github.com/kubesphere/kubesphere/blob/release-3.0/pkg/apiserver/authentication/oauth/oauth_options.go#L60-L62，可以贴一下你前后两次配置的区别

accessTokenMaxAge: 1h
accessTokenInactivityTimeout: 30m

ColinShih

之前accessTokenMaxAge设置的是0，现在按照如上给出信息进行的配置，这两个字段是什么含义

ColinShih

增加identityProvider后是可以正常登录的，但是没有ldap用户导入进来

hongming

ColinShih 外部LDAP与kubesphere不再是导入关系，通过LDAP登录之后会关联kubesphere中账户，可以配置多个identityProvider

ColinShih

好的，ldap的配置可以直接加在cluster-configuration.yaml配置文件里面吗？

hongming

ColinShih 目前没有加到 cluster configuration 的配置中，需要安装之后修改

yyhh

@hongming 添加配置并重启了ks-apiserver，但是还是使用openldap已有账号才能登录

hongming

yyhh 注意配置文件缩进是否正确，配置项中的 loginAttribute 是否正确，外部ldap关联的账户可以通过kubectl get users -l iam.kubesphere.io/identify-provider=ldap 查询到，如配置不生效可以看看ks-apiserver日志

yyhh

hongming 上一条回复忘记忘记艾特您；除了添加您贴出的这个配置，是否需要什么前置条件呢，我配置的是多集群，但是只在host集群配置了ldap

yyhh

我检查了一下配置，没发现问题，日志也没发现认证相关的报错，下面是我的配置及日志截图

麻烦看一下我的配置对不对呢

hongming

yyhh 登录失败一定会有错误日志的，前端看到的提示是什么，你登录外部LDAP中的账号试试

yyhh

hongming 用内部ldap账号有如下报错：

Jeff

yyhh 这是一个issue，因为 3.0 中，username 是一个 CRD 对象的 name，而 k8s 对于对象的名称有着严格的规范，不符合上面显示的正则表达式的名称被视为无效名称，可以先在github上提个issue，我们看下如何解决

yyhh

Jeff 明白了，多谢

yanqin001

配置了之后本地账号和ldap账号都不能登录，请帮看一下

hongming

yanqin001 是多集群环境还是单集群环境? 检查一下节点之间的时间差，可以将 maximumClockSkew 调大一点，重启 ks-apiserver 看看

kubectl -n kubesphere-system edit cm kubesphere-config
kubectl -n kubesphere-system rollout restart deploy ks-apiserver

hongming

yanqin001 另外 admin 账户是不受影响的，日志上的错误和LDAP无关

yanqin001

hongming 确实时间有问题，现在时间已同步
登录的时候，如果直接输入账号密码会报密码错误，如果在账号输入框中输入域\账号，就会报这个错