使用教程 KubeSphere-3.x
同步ldap账户

zhejiez
2021年5月10日
发布 #3 2021年5月10日星期一 00点48分

hongming 我们是ldap同步钉钉组织架构，但是ks有没有自动同步ldap的方法

hongmingK零SK壹S
2021年5月10日
发布 #4 2021年5月10日星期一 08点16分

zhejiez KS 对接外部 LDAP 不会直接对账户进行同步，只会在登录的时候通过外部LDAP校验用户密码，登录成功后会关联映射到一个 KS 的账户上

hongmingK零SK壹S
2021年5月10日
发布 #5 2021年5月10日星期一 08点18分

zhejiez 你可以预先创建账户，在KS中你只能对已经通过外部LDAP帐号密码登录过的用户进行管理

zhejiez
2021年5月10日
发布 #6 2021年5月10日星期一 08点26分

hongming identity provider name 这个怎么获取，我刚才随便写的，会把我ldap的用户密码覆盖

hongmingK零SK壹S
2021年5月10日
发布 #7 2021年5月10日星期一 08点34分

@zhejiez 这里就是 identity provider name，只有批量创建需要这么操作。你通过新的LDAP帐号登录，会自动关联创建 KS 帐号

hongmingK零SK壹S
2021年5月10日
发布 #9 2021年5月10日星期一 09点34分

zhejiez 你的环境是3.0 还是 3.1 ？参照这个文档进行配置 https://kubesphere.com.cn/docs/access-control-and-account-management/configuring-authentication/#ldap-authentication，需要重启 ks-apiserver

zhejiez
2021年5月11日
发布 #10 2021年5月11日星期二 01点13分

hongming 3.0,我试下这个

zhejiez
2021年5月11日
发布 #11 2021年5月11日星期二 01点48分

hongming 我按照文档里配ks-controller-manager启动不起来，api与ks-controller-manager要两个配置文件吗

hongmingK零SK壹S
2021年5月11日
发布 #12 2021年5月11日星期二 02点08分

zhejiez 注意配置文件缩进，无法启动肯定会有报错

zhejiez
2021年5月11日
发布 #13 2021年5月11日星期二 02点58分

hongming

这个报错

hongmingK零SK壹S
2021年5月11日
发布 #14 2021年5月11日星期二 03点19分
已编辑

zhejiez 把这些配置再恢复一下 https://github.com/kubesphere/ks-installer/blob/v3.0.0/roles/ks-core/config/templates/kubesphere-config.yaml.j2#L16-L21，不能删了，这个是内置 LDAP 的配置

zhejiez
2021年5月11日
发布 #15 2021年5月11日星期二 05点49分

hongming 这的配置跟文档的配置不一样，并且配置这个不能ldap的用户登录不了，我到底用哪个

hongmingK零SK壹S
2021年5月11日
发布 #16 2021年5月11日星期二 05点54分

identityProviders 这个 section 才是配置外部LDAP认证

但是你不要移除这段配置 https://github.com/kubesphere/ks-installer/blob/v3.0.0/roles/ks-core/config/templates/kubesphere-config.yaml.j2#L16-L21

这个是KS内置LDAP的配置

zhejiez
2021年5月11日
发布 #17 2021年5月11日星期二 06点27分

hongming
我没有移除，我就安装文档粘贴过来的

hongmingK零SK壹S
2021年5月11日
发布 #18 2021年5月11日星期二 06点31分
已编辑

zhejiez 注意看，应该有两个配置，文档里也写的很清楚，你只需要增加 identityProviders 里的配置，最外层还有个 LDAP 连接配置被删了

zhejiez
2021年5月11日
发布 #19 2021年5月11日星期二 07点30分

hongming 哦哦，得配置两次啊

zhejiez
2021年5月12日
发布 #20 2021年5月12日星期三 01点15分

hongming 我登录第一次的时候能进去，第二次再登录的话会提示Internal error occurred: account is not active，我在ks里看这账户状态等待中

hongmingK零SK壹S
2021年5月12日
发布 #21 2021年5月12日星期三 01点44分

zhejiez 看看这个 https://kubesphere.com.cn/docs/faq/access-control/cannot-login/， v3.0.0 对 kubesphere-system 下的 LDAP 和 jenkins 依赖比较重，这两个服务异常会影响用户状态同步

zhejiez
2021年5月12日
发布 #22 2021年5月12日星期三 04点01分

hongming 我尝试升级ks了，可是又有新的问题

hongmingK零SK壹S
2021年5月12日
发布 #23 2021年5月12日星期三 04点23分

for user in `kubectl get users -l \!iam.kubesphere.io/origin-uid,iam.kubesphere.io/identify-provider -o jsonpath="{.items[*].metadata.name}"`; do kubectl label user $user iam.kubesphere.io/origin-uid=$user; done
cat << EOF | kubectl apply -f -
apiVersion: iam.kubesphere.io/v1alpha2
kind: GlobalRoleBinding
metadata:
  name: pre-registration
roleRef:
  apiGroup: iam.kubesphere.io
  kind: GlobalRole
  name: pre-registration
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: pre-registration
EOF

kubesphere/kubesphere#3850

同步ldap账户

zhejiez

hongming 我们是ldap同步钉钉组织架构，但是ks有没有自动同步ldap的方法

hongming

zhejiez KS 对接外部 LDAP 不会直接对账户进行同步，只会在登录的时候通过外部LDAP校验用户密码，登录成功后会关联映射到一个 KS 的账户上

hongming

zhejiez 你可以预先创建账户，在KS中你只能对已经通过外部LDAP帐号密码登录过的用户进行管理

zhejiez

hongming identity provider name 这个怎么获取，我刚才随便写的，会把我ldap的用户密码覆盖

hongming

@zhejiez 这里就是 identity provider name，只有批量创建需要这么操作。你通过新的LDAP帐号登录，会自动关联创建 KS 帐号

hongming

zhejiez 你的环境是3.0 还是 3.1 ？参照这个文档进行配置 https://kubesphere.com.cn/docs/access-control-and-account-management/configuring-authentication/#ldap-authentication，需要重启 ks-apiserver

zhejiez

hongming 3.0,我试下这个

zhejiez

hongming 我按照文档里配ks-controller-manager启动不起来，api与ks-controller-manager要两个配置文件吗

hongming

zhejiez 注意配置文件缩进，无法启动肯定会有报错

zhejiez

hongming

这个报错

hongming

zhejiez 把这些配置再恢复一下 https://github.com/kubesphere/ks-installer/blob/v3.0.0/roles/ks-core/config/templates/kubesphere-config.yaml.j2#L16-L21，不能删了，这个是内置 LDAP 的配置

zhejiez

hongming 这的配置跟文档的配置不一样，并且配置这个不能ldap的用户登录不了，我到底用哪个

hongming

identityProviders 这个 section 才是配置外部LDAP认证

但是你不要移除这段配置 https://github.com/kubesphere/ks-installer/blob/v3.0.0/roles/ks-core/config/templates/kubesphere-config.yaml.j2#L16-L21

这个是KS内置LDAP的配置

zhejiez

hongming
我没有移除，我就安装文档粘贴过来的

hongming

zhejiez 注意看，应该有两个配置，文档里也写的很清楚，你只需要增加 identityProviders 里的配置，最外层还有个 LDAP 连接配置被删了

zhejiez

hongming 哦哦，得配置两次啊

zhejiez

hongming 我登录第一次的时候能进去，第二次再登录的话会提示Internal error occurred: account is not active，我在ks里看这账户状态等待中

hongming

zhejiez 看看这个 https://kubesphere.com.cn/docs/faq/access-control/cannot-login/， v3.0.0 对 kubesphere-system 下的 LDAP 和 jenkins 依赖比较重，这两个服务异常会影响用户状态同步

zhejiez

hongming 我尝试升级ks了，可是又有新的问题

hongming

for user in `kubectl get users -l \!iam.kubesphere.io/origin-uid,iam.kubesphere.io/identify-provider -o jsonpath="{.items[*].metadata.name}"`; do kubectl label user $user iam.kubesphere.io/origin-uid=$user; done
cat << EOF | kubectl apply -f -
apiVersion: iam.kubesphere.io/v1alpha2
kind: GlobalRoleBinding
metadata:
  name: pre-registration
roleRef:
  apiGroup: iam.kubesphere.io
  kind: GlobalRole
  name: pre-registration
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: pre-registration
EOF

kubesphere/kubesphere#3850

zhejiez

hongming 这个每有一个用户都要做一次吗，没办法自动关联吗

下一页 »