PowerFlex 4.X - PFxM Keycloak 관리 콘솔에서 LDAP 그룹 검색 필터를 적용하는 방법

1.  PFxM MVM 노드에서 다음 명령을 실행하여 Keycloak 사용자의 암호/암호를 가져옵니다.

kubectl get secret -n powerflex keycloak-admin-credentials -o jsonpath="{.data.password}" | base64 --decode; echo

       2.  다음 URL을 사용하여 Keycloak 관리 UI 콘솔로 이동합니다.  

https://pfmp.company.org/auth

       3.  '관리 콘솔'을 클릭하고 keycloak 사용자 이름과 14



단계의 명령 출력에 나열된 암호를 사용하여 로그인합니다.  드롭다운



5에서 'master'를 'powerflex' 영역으로 변경합니다.  '사용자 페더레이션'을 클릭한 다음 구성된 LDAP 공급자를 클릭합니다.

 
       
        6. Mappers 탭을 클릭한 다음 LdapGroupMapping



을 클릭합니다. 7.  아래로 스크롤하여 'LDAP Filter' 개체를 찾습니다. 아래 구문을 사용하여 관심 있는 특정 그룹을 추가합니다('OR' 필터가 생성됨). 구문의 (etc) 값은 필요한 경우 그룹을 추가할 수 있는 자리 표시자입니다. 추가하는 각 그룹에는 "cn=" 값 주위에 ()가 필요합니다.

(|(cn=group_name_1)(cn=group_name_2)(cn=group_name_3)(etc))

예:

(|(cn=Monitoring_Group)(cn=Admin_Group)(cn=Deployment_Group))

 
      8. '저장'을 클릭합니다.

      9. PFxM MVM 노드에서 다음 명령을 실행하여 PFxM을 LDAP 공급자와 동기화합니다.

SSO IP, Platform Manager 토큰, 수신 IP 및 LDAP ID

에 대한 시스템 변수 설정메모: PM_TOKEN 변수 명령의 경우 "Scaleio123!" 값을 바꿉니다.을 PFxM UI에 로그인하는 데 사용하는 관리자 암호로 로그인합니다.
 

SSO_IP=`kubectl get svc -A | grep "sso " | awk '{print $4}'`
 
PM_TOKEN=`curl -k --location --request POST "https://${SSO_IP}:8080/rest/auth/login" --header 'Accept: application/json' --header 'Content-Type: application/json' --data '{"username": "admin","password": "Scaleio123!" }' | jq -r .access_token`
 
INGRESS_IP=$(kubectl get svc -A | grep -i rke2-ingress-nginx-controller | awk 'NR==1{print $5}')
 
LDAP_ID=$(curl -k https://${INGRESS_IP}/rest/v1/directory-services --header 'Accept: application/json' --header 'Content-Type: application/json' --header "Authorization: Bearer ${PM_TOKEN}" | jq -r '.[0].id')

      10 다음 명령을 실행하여 PFxM에서 LDAP 공급자로의 동기화를 시작합니다.

curl -k -X POST https://${INGRESS_IP}/rest/v1/directory-services/${LDAP_ID}/sync --header "Authorization: Bearer ${PM_TOKEN}" --header 'Accept: application/json' --header 'Content-Type: application/json'

참고: 위의 명령이 성공하면 화면에 아무 것도 반환하지 않아야 합니다. 최대 15분을 기다린 후 PFxM UI에서 사용자 또는 그룹 추가를 시도합니다.