PowerFlex 4.X – Slik bruker du LDAP-gruppesøkefilteret i PFxM Keycloak Admin Console

Tidsavbrudd for PFxM-pålogging for brukergrensesnitt når en bruker prøver å logge på med LDAP-legitimasjon.

I AD-miljøer med et stort antall grupper (20 000+) kan påloggingsforsøk til PFxM-brukergrensesnittet bli tidsavbrutt fordi Keycloak nummereres opp gjennom hver gruppe i miljøet. Søkefilteret begrenser gruppene som TGTG behandler under brukerautentisering og autorisasjon til de gruppene som er oppført i filteret.

Notat:  TGTG vil autentisere enhver bruker med en aktiv konto i AD-domenet som standard. Hvis en bruker ikke er en del av gruppene i filteret, vil de ikke bli autorisert og vil ikke ha tilgang til PFxM-brukergrensesnittet.

1.  Få tak i keycloak-brukerens hemmelighet / passord ved å kjøre følgende kommando fra en hvilken som helst PFxM MVM-node.

kubectl get secret -n powerflex keycloak-admin-credentials -o jsonpath="{.data.password}" | base64 --decode; echo

       2.  Gå til administrasjonsgrensesnittkonsollen for Keycloak ved hjelp av følgende URL-adresse.  

https://pfmp.company.org/auth

       3.  Klikk på 'Administrasjonskonsoll' og logg inn med brukernavnets keycloak og hemmeligheten som er oppført i utdataene fra kommandoen i trinn 1



4.  Endre fra "master" til "Powerflex"-området i rullegardinmenyen



5.  Klikk på 'Brukerforbund', og klikk deretter på den konfigurerte LDAP-leverandøren.

 
       
        6. Klikk på 'Mappers' fanen, og klikk deretter 'LdapGroupMapping'



7.  Rull ned og se etter 'LDAP-filter'objektet. Legg til de spesifikke gruppene du er interessert i ved å bruke syntaksen nedenfor (dette oppretter et ELLER-filter). Verdien (etc) i syntaksen er en plassholder for å legge til flere grupper om nødvendig. Hver gruppe du legger til, må være () rundt verdien "cn=".

(|(cn=group_name_1)(cn=group_name_2)(cn=group_name_3)(etc))

For eksempel:

(|(cn=Monitoring_Group)(cn=Admin_Group)(cn=Deployment_Group))

 
      8. Klikk 'Lagre'.

      9. Synkroniser PFxM med LDAP-leverandøren ved å kjøre følgende kommandoer fra en hvilken som helst PFxM MVM-node.

Angi systemvariabler for SSO IP, plattformadministratortoken, inngangs-IP og LDAP-ID

NOTAT: For den PM_TOKEN variabelkommandoen, erstatt følgende verdi "Scaleio123!" med administratorpassordet du bruker til å logge på PFxM-brukergrensesnittet.
 

SSO_IP=`kubectl get svc -A | grep "sso " | awk '{print $4}'`
 
PM_TOKEN=`curl -k --location --request POST "https://${SSO_IP}:8080/rest/auth/login" --header 'Accept: application/json' --header 'Content-Type: application/json' --data '{"username": "admin","password": "Scaleio123!" }' | jq -r .access_token`
 
INGRESS_IP=$(kubectl get svc -A | grep -i rke2-ingress-nginx-controller | awk 'NR==1{print $5}')
 
LDAP_ID=$(curl -k https://${INGRESS_IP}/rest/v1/directory-services --header 'Accept: application/json' --header 'Content-Type: application/json' --header "Authorization: Bearer ${PM_TOKEN}" | jq -r '.[0].id')

      10 Kjør følgende kommando for å starte en synkronisering fra PFxM til LDAP-leverandøren.

curl -k -X POST https://${INGRESS_IP}/rest/v1/directory-services/${LDAP_ID}/sync --header "Authorization: Bearer ${PM_TOKEN}" --header 'Accept: application/json' --header 'Content-Type: application/json'

MERK: Kommandoen ovenfor skal ikke returnere noe til skjermen hvis den lykkes. Vent i opptil 15 minutter, og prøv å legge til bruker eller gruppe fra PFxM-brukergrensesnittet.