PowerFlex 4.X - Як застосувати фільтр групового пошуку LDAP у консолі адміністратора PFxM Keycloak

Тайм-аут інтерфейсу PFxM UI, коли користувач намагається увійти за допомогою облікових даних LDAP.

У середовищах AD з великою кількістю груп (20 000+) спроби входу в інтерфейс PFxM можуть мати тайм-аут, оскільки Keycloak пронумерує кожну групу в середовищі. Фільтр пошуку обмежує групи, які Keycloak обробляє під час аутентифікації та авторизації користувачів, тими групами, які перелічені у фільтрі.

Примітка:  Keycloak автентифікує будь-якого користувача з активним обліковим записом у домені AD за замовчуванням. Якщо користувач не входить до груп у фільтрі, він не буде авторизований і не матиме доступу до інтерфейсу PFxM.

1.  Отримайте секрет/пароль користувача Keycloak, виконавши наступну команду з будь-якого вузла PFxM MVM.

kubectl get secret -n powerflex keycloak-admin-credentials -o jsonpath="{.data.password}" | base64 --decode; echo

       2.  Перейдіть до консолі адміністратора Keycloak за допомогою наведеної нижче URL-адреси.  

https://pfmp.company.org/auth

       3.  Натисніть «Консоль адміністрування» та увійдіть за допомогою імені користувача keycloak і секрету, зазначеного у виводі команди на кроці 1



, 4.  Змініть область з «master» на «Powerflex» у випадаючому списку



5.  Натисніть "Федерація користувачів", а потім виберіть налаштованого постачальника LDAP.

 
       
        6. Перейдіть на вкладку "Mappers", а потім натисніть "LdapGroupMapping"



7.  Прокрутіть униз і знайдіть об'єкт «Фільтр LDAP». Додайте конкретні групи, які вас цікавлять, використовуючи синтаксис нижче (це створює фільтр 'АБО'). Значення (etc) у синтаксисі є заповнювачем для додавання додаткових груп, якщо це необхідно. Кожна група, яку ви додаєте, потребує () навколо значення "cn=".

(|(cn=group_name_1)(cn=group_name_2)(cn=group_name_3)(etc))

Колишній.

(|(cn=Monitoring_Group)(cn=Admin_Group)(cn=Deployment_Group))

 
      8. Натисніть "Зберегти".

      9. Синхронізуйте PFxM із постачальником LDAP, запустивши наведені нижче команди з будь-якого вузла PFxM MVM.

Встановлення системних змінних для IP єдиного входу, маркера менеджера платформи, IP-адреси входу та ідентифікатора

LDAPПРИМІТКА: Для команди змінної PM_TOKEN замініть наступне значення "Scaleio123!" за допомогою пароля адміністратора , який ви використовуєте для входу в інтерфейс PFxM.
 

SSO_IP=`kubectl get svc -A | grep "sso " | awk '{print $4}'`
 
PM_TOKEN=`curl -k --location --request POST "https://${SSO_IP}:8080/rest/auth/login" --header 'Accept: application/json' --header 'Content-Type: application/json' --data '{"username": "admin","password": "Scaleio123!" }' | jq -r .access_token`
 
INGRESS_IP=$(kubectl get svc -A | grep -i rke2-ingress-nginx-controller | awk 'NR==1{print $5}')
 
LDAP_ID=$(curl -k https://${INGRESS_IP}/rest/v1/directory-services --header 'Accept: application/json' --header 'Content-Type: application/json' --header "Authorization: Bearer ${PM_TOKEN}" | jq -r '.[0].id')

      10 Виконайте наведену нижче команду, щоб ініціювати синхронізацію з PFxM із постачальником LDAP.

curl -k -X POST https://${INGRESS_IP}/rest/v1/directory-services/${LDAP_ID}/sync --header "Authorization: Bearer ${PM_TOKEN}" --header 'Accept: application/json' --header 'Content-Type: application/json'

ПРИМІТКА. Наведена вище команда не повинна повертати нічого на екран, якщо вона успішна. Зачекайте до 15 хвилин і спробуйте додати користувача або групу з інтерфейсу PFxM.