GA版怎么对接ldap或oauth2?

ColinShih

好的，ldap的配置可以直接加在cluster-configuration.yaml配置文件里面吗？

hongming

ColinShih 目前没有加到 cluster configuration 的配置中，需要安装之后修改

yyhh

@hongming 添加配置并重启了ks-apiserver，但是还是使用openldap已有账号才能登录

hongming

yyhh 注意配置文件缩进是否正确，配置项中的 loginAttribute 是否正确，外部ldap关联的账户可以通过kubectl get users -l iam.kubesphere.io/identify-provider=ldap 查询到，如配置不生效可以看看ks-apiserver日志

yyhh

hongming 上一条回复忘记忘记艾特您；除了添加您贴出的这个配置，是否需要什么前置条件呢，我配置的是多集群，但是只在host集群配置了ldap

yyhh

我检查了一下配置，没发现问题，日志也没发现认证相关的报错，下面是我的配置及日志截图

麻烦看一下我的配置对不对呢

hongming

yyhh 登录失败一定会有错误日志的，前端看到的提示是什么，你登录外部LDAP中的账号试试

yyhh

hongming 用内部ldap账号有如下报错：

Jeff

yyhh 这是一个issue，因为 3.0 中，username 是一个 CRD 对象的 name，而 k8s 对于对象的名称有着严格的规范，不符合上面显示的正则表达式的名称被视为无效名称，可以先在github上提个issue，我们看下如何解决

yyhh

Jeff 明白了，多谢

yanqin001

配置了之后本地账号和ldap账号都不能登录，请帮看一下

hongming

yanqin001 是多集群环境还是单集群环境? 检查一下节点之间的时间差，可以将 maximumClockSkew 调大一点，重启 ks-apiserver 看看

kubectl -n kubesphere-system edit cm kubesphere-config
kubectl -n kubesphere-system rollout restart deploy ks-apiserver

hongming

yanqin001 另外 admin 账户是不受影响的，日志上的错误和LDAP无关

yanqin001

hongming 确实时间有问题，现在时间已同步
登录的时候，如果直接输入账号密码会报密码错误，如果在账号输入框中输入域\账号，就会报这个错

hongming

yanqin001 配置好之后是直接通过账号密码登录，确保账号密码无误，无法登录的话可以贴一下 ks-apiserver 的日志

yanqin001

hongming 可以了谢谢，之前以为要建立同名本地账号，把本地账号删除后可以ldap登录了

FlywinNing

hongming 请问下这个uid要改吗
managerDN: uid=root
loginAttribute: uid

FlywinNing

hongming 我的日志是这样的密码错误

hongming

FlywinNing 根据实际配置填写，openldap通常是uid, AD 通常是 sAMAccountName

weekyuan

按照上面的配置ldap后，ldap用户可以正常登陆，但没有加入任何权限配置。我重新用admin登陆想进去为ldap用户配置权限，结果admin登陆不上，页面504超时。api-server日志如下：
authentication.go:60] Unable to authenticate the request due to error: token is expired by 6m42s

hongming

weekyuan 504 可能是内部反代超时了，和这行报错没有关系（会话过期了），可以刷新一下页面看看

hongming

FlywinNing https://ldapwiki.com/wiki/Common%20Active%20Directory%20Bind%20Errors 配置生效了，但是密码不对