PowerFlex 4.X - LDAP-ryhmähakusuodattimen käyttäminen PFxM-näppäinviitan hallintakonsolissa

PFxM-käyttöliittymään kirjautuminen aikakatkaistaan, kun käyttäjä yrittää kirjautua LDAP-tunnistetiedoilla.

AD-ympäristöissä, joissa on paljon ryhmiä (20 000+), PFxM-käyttöliittymän kirjautumisyritykset saattavat aikakatkaista, koska Keycloak luettelee ympäristön jokaisen ryhmän kautta. Hakusuodatin rajoittaa ryhmät, jotka Keycloak käsittelee käyttäjän todennuksen ja valtuutuksen aikana, suodattimessa lueteltuihin ryhmiin.

Muistiinpano:  Keycloak todentaa oletuksena kaikki käyttäjät, joilla on aktiivinen tili AD-verkkotunnuksessa. Jos käyttäjä ei kuulu suodattimen ryhmiin, häntä ei valtuuteta eikä hänellä ole PFxM-käyttöliittymän käyttöoikeutta.

1.  Hanki Keycloak-käyttäjän salaisuus/salasana suorittamalla seuraava komento mistä tahansa PFxM MVM -solmusta.

kubectl get secret -n powerflex keycloak-admin-credentials -o jsonpath="{.data.password}" | base64 --decode; echo

       2.  Siirry Keycloakin hallintakäyttöliittymän konsoliin seuraavan URL-osoitteen avulla.  

https://pfmp.company.org/auth

       3.  Valitse Administration Console ja kirjaudu sisään käyttäjätunnuksella keycloak sekä vaiheen 1



4 komennon tuloksessa näkyvällä salaisuudella.  Vaihda master-alueesta Powerflex-maailmaan avattavassa valikossa



5.  Klikkaa 'Käyttäjien yhdistäminen' ja klikkaa sitten määritettyä LDAP-palveluntarjoajaa.

 
       
        6. Klikkaa 'Mappers' -välilehteä ja osoita sitten 'LdapGroupMapping'



7.  Vieritä alas ja etsi LDAP-suodatin-objekti. Lisää haluamasi ryhmät käyttämällä alla olevaa syntaksia (tämä luo TAI-suodattimen). Syntaksin (etc)-arvo on paikkamerkki, jonka avulla ryhmiä voidaan lisätä tarvittaessa. Jokainen lisäämäsi ryhmä tarvitsee () cn=-arvon ympärillä.

(|(cn=group_name_1)(cn=group_name_2)(cn=group_name_3)(etc))

Esimerkki:

(|(cn=Monitoring_Group)(cn=Admin_Group)(cn=Deployment_Group))

 
      8. Klikkaa Tallenna.

      9. Synkronoi PFxM LDAP-palveluntarjoajan kanssa suorittamalla seuraavat komennot mistä tahansa PFxM MVM -solmusta.

Järjestelmämuuttujien määrittäminen kertakirjautumisen IP-osoitteelle, alustan hallinnan tunnukselle, ingress-IP:lle ja LDAP-tunnukselle

MUISTIINPANO: Korvataan PM_TOKEN variable -komennossa seuraava arvo "Scaleio123!" sillä järjestelmänvalvojan salasanalla, jolla kirjaudut PFxM-käyttöliittymään.
 

SSO_IP=`kubectl get svc -A | grep "sso " | awk '{print $4}'`
 
PM_TOKEN=`curl -k --location --request POST "https://${SSO_IP}:8080/rest/auth/login" --header 'Accept: application/json' --header 'Content-Type: application/json' --data '{"username": "admin","password": "Scaleio123!" }' | jq -r .access_token`
 
INGRESS_IP=$(kubectl get svc -A | grep -i rke2-ingress-nginx-controller | awk 'NR==1{print $5}')
 
LDAP_ID=$(curl -k https://${INGRESS_IP}/rest/v1/directory-services --header 'Accept: application/json' --header 'Content-Type: application/json' --header "Authorization: Bearer ${PM_TOKEN}" | jq -r '.[0].id')

      10 Käynnistä synkronointi PFxM:stä LDAP-palveluntarjoajaan suorittamalla seuraava komento.

curl -k -X POST https://${INGRESS_IP}/rest/v1/directory-services/${LDAP_ID}/sync --header "Authorization: Bearer ${PM_TOKEN}" --header 'Accept: application/json' --header 'Content-Type: application/json'

HUOMAUTUS: Jos se onnistuu, yllä olevan komennon ei pitäisi palauttaa mitään näyttöön. Odota 15 minuuttia ja kokeile lisätä käyttäjä tai ryhmä PFxM-käyttöliittymässä.