PowerFlex 4.X – Jak použít filtr vyhledávání skupin LDAP v konzoli správce PFxM Keycloak

Časový limit přihlášení do uživatelského rozhraní PFxM, když se uživatel pokusí přihlásit pomocí přihlašovacích údajů LDAP.

V prostředích AD s velkým počtem skupin (20 000+) může dojít k vypršení časového limitu pokusů o přihlášení k uživatelskému rozhraní PFxM, protože Keycloak vytvoří výčet prostřednictvím všech skupin v prostředí. Vyhledávací filtr omezí skupiny, které Keycloak zpracovává během ověřování a autorizace uživatele, na skupiny uvedené ve filtru.

Poznámka:  Keycloak ve výchozím nastavení ověří každého uživatele s aktivním účtem v doméně AD. Pokud uživatel není součástí skupin ve filtru, nebude autorizován a nebude mít přístup k uživatelskému rozhraní PFxM.

1.  Získejte tajný klíč/heslo uživatele Keycloak spuštěním následujícího příkazu z libovolného uzlu PFxM MVM.

kubectl get secret -n powerflex keycloak-admin-credentials -o jsonpath="{.data.password}" | base64 --decode; echo

       2.  Přejděte do konzole uživatelského rozhraní správce Keycloak pomocí následující adresy URL.  

https://pfmp.company.org/auth

       3.  Klikněte na "Administration Console" a přihlaste se pomocí uživatelského jména keycloak a tajného klíče uvedeného ve výstupu příkazu v kroku 1



4.  V rozevíracím seznamu



změňte oblast z "master" na "Powerflex".  Klikněte na "Federace uživatelů" a poté klikněte na nakonfigurovaného poskytovatele LDAP.

 
       
        6. Klikněte na záložku "Mapovače" a poté na "LdapGroupMapping"



7.  Přejděte dolů a vyhledejte objekt "LDAP Filter". Pomocí níže uvedené syntaxe přidejte konkrétní skupiny, které vás zajímají (tím se vytvoří filtr "OR"). Hodnota (etc) v syntaxi je zástupný symbol pro přidání dalších skupin v případě potřeby. Každá skupina, kterou přidáte, potřebuje () kolem "cn=" hodnoty.

(|(cn=group_name_1)(cn=group_name_2)(cn=group_name_3)(etc))

Příklad

(|(cn=Monitoring_Group)(cn=Admin_Group)(cn=Deployment_Group))

 
      8. Klikněte na 'Save'.

      9. Synchronizujte PFxM s poskytovatelem LDAP spuštěním následujících příkazů z libovolného uzlu PFxM MVM.

Nastavte systémové proměnné pro IP adresu jednotného přihlašování, token správce platformy, IP adresu příchozího přenosu dat a ID

LDAP.POZNÁMKA: Pro příkaz proměnné PM_TOKEN nahraďte následující hodnotu "Scaleio123!" s heslem správce , které používáte pro přihlášení do uživatelského rozhraní PFxM.
 

SSO_IP=`kubectl get svc -A | grep "sso " | awk '{print $4}'`
 
PM_TOKEN=`curl -k --location --request POST "https://${SSO_IP}:8080/rest/auth/login" --header 'Accept: application/json' --header 'Content-Type: application/json' --data '{"username": "admin","password": "Scaleio123!" }' | jq -r .access_token`
 
INGRESS_IP=$(kubectl get svc -A | grep -i rke2-ingress-nginx-controller | awk 'NR==1{print $5}')
 
LDAP_ID=$(curl -k https://${INGRESS_IP}/rest/v1/directory-services --header 'Accept: application/json' --header 'Content-Type: application/json' --header "Authorization: Bearer ${PM_TOKEN}" | jq -r '.[0].id')

      10 Spuštěním následujícího příkazu zahájíte synchronizaci z PFxM s poskytovatelem LDAP.

curl -k -X POST https://${INGRESS_IP}/rest/v1/directory-services/${LDAP_ID}/sync --header "Authorization: Bearer ${PM_TOKEN}" --header 'Accept: application/json' --header 'Content-Type: application/json'

POZNÁMKA: Pokud je výše uvedený příkaz úspěšný, neměl by na obrazovce nic vrátit. Počkejte až 15 minut a zkuste přidat uživatele nebo skupinu v uživatelském rozhraní PFxM.