Konfigurationsübersicht für LDAP-Proxy

Wenn Sie bei der Installation LDAP mode:proxy ausgewählt haben, bearbeiten Sie die Konfigurationszuordnungsdatei für den LDAP-Proxy. Fügen Sie zum Konfigurieren von Verbindungen zu Ihrem eigenen LDAP-Server das vertrauenswürdige Zertifikat zum OpenLDAP-Pod hinzu. Wenn Sie bei der Installation LDAP mode:standalone ausgewählt haben, wird diese Methode nicht verwendet.

Inhalt

Hinweis: Die in diesem Thema beschriebenen Aktualisierungen gelten nur für LDAP SSL. Bei einer Nicht-SSL-LDAP-Konfiguration müssen Sie die Datei slapd.conf nicht ändern.
In der folgenden Tabelle sind die Datenelemente aufgelistet, die in der Konfigurationsübersicht für openldap enthalten sind:
Tabelle 1. Datenelemente in openldap configmap
Datenelemente Beschreibung Weitere Informationen

ldap-proxy-slapd-replace:

Ersetzt den Inhalt der Datei slapd.conf, die die Verbindung zu Ihrem LDAP-Server konfiguriert.

ldap-trusted-ca-pem:

Fügt ein angepasstes Zertifikat einer Zertifizierungsstelle (CA) hinzu.

Das Zertifikat liegt im PEM-Format vor.

Hier werden Beispiele für die einzelnen Datenelemente in dieser Konfigurationsübersicht bereitgestellt.

Datenelement: ldap-proxy-slapd-replace:

Ersetzt den Inhalt der Datei slapd.conf, die die Verbindung zu Ihrem LDAP-Server konfiguriert.
ldap-proxy-slapd-replace: |
    include  /usr/local/etc/openldap/schema/core.schema
    include  /usr/local/etc/openldap/schema/cosine.schema
    include  /usr/local/etc/openldap/schema/inetorgperson.schema

    pidfile         /usr/local/var/run/slapd.pid
    argsfile        /usr/local/var/run/slapd.args
    sizelimit 500

    database ldap
    uri "ldaps://ldap.pichu.com"
    suffix "dc=pichu,dc=com"
    tls ldaps
      tls_cacert=/home/openldap/certs/ldap-trusted-ca.pem
Hinweis: In diesem Beispiel
tls ldaps
      tls_cacert=/home/openldap/certs/ldap-trusted-ca.pem
verweist auf das Datenelement ldap-trusted-ca-pem:.

Datenelement: ldap-trusted-ca-pem:

Fügt ein angepasstes Zertifikat einer Zertifizierungsstelle (CA) hinzu.
ldap-trusted-ca-pem: |
    -----BEGIN CERTIFICATE-----
    MIIFczABC1...
    ...
    ...8W1g==
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIFgABCA...
    ...
    ...FRJEOTuGNSdgw123s=
    -----END CERTIFICATE-----

Das Zertifikat RootCA und alle Zwischenzertifikate für den LDAP-Server müssen der Eigenschaft ldap-trusted-ca-pem hinzugefügt werden.

Hinweis:

Stellen Sie sicher, dass das Label managedByUser in den Metadaten der configmap auf true gesetzt ist. Andernfalls ersetzt der Operator die Konfigurationszuordnung.

kind: ConfigMap
metadata:
  labels:
    managedByUser: "true"

Stellen Sie sicher, dass LDAP_VERIFY_PASSWORDS im Statefulset <deployment-name>-webgui auf true gesetzt ist, um den Authentifizierungsstatus der erforderlichen LDAP-Benutzer anzuzeigen.