PowerFlex 4.X — 如何在 PFxM Keycloak 管理控制台中应用 LDAP 组搜索筛选器

1.  通过从任何 PFxM MVM 节点运行以下命令，获取 Keycloak 用户的密码/密码。

kubectl get secret -n powerflex keycloak-admin-credentials -o jsonpath="{.data.password}" | base64 --decode; echo

       2.  使用以下 URL 转到 Keycloak 管理 UI 控制台。  

https://pfmp.company.org/auth

       3.  单击“管理控制台”，然后使用用户名 keycloak 和步骤 1



4 中命令输出中列出的密码登录。  在下拉列表



中从“master”更改为“Powerflex”领域 5.  单击“User federation”，然后单击配置的 LDAP 提供程序。

 
       
        6.单击“Mappers”选项卡，然后单击“LdapGroupMapping”



7.  向下滚动并查找“LDAP 筛选器”对象。使用下面的语法添加您感兴趣的特定组（这将创建一个“OR”筛选器）。语法中的 （etc） 值是在需要时添加其他组的占位符。您添加的每个组都需要 （） 围绕“cn=”值。

(|(cn=group_name_1)(cn=group_name_2)(cn=group_name_3)(etc))

例如：

(|(cn=Monitoring_Group)(cn=Admin_Group)(cn=Deployment_Group))

 
      8.点击“保存”。

      9.通过从任何 PFxM MVM 节点运行以下命令，将 PFxM 与 LDAP 提供程序同步。

为 SSO IP、Platform Manager 令牌、入口 IP 和 LDAP ID

设置系统变量注意：对于PM_TOKEN变量命令，请替换以下值 “Scaleio123！” 使用用于登录 PFxM UI 的 管理员 密码。
 

SSO_IP=`kubectl get svc -A | grep "sso " | awk '{print $4}'`
 
PM_TOKEN=`curl -k --location --request POST "https://${SSO_IP}:8080/rest/auth/login" --header 'Accept: application/json' --header 'Content-Type: application/json' --data '{"username": "admin","password": "Scaleio123!" }' | jq -r .access_token`
 
INGRESS_IP=$(kubectl get svc -A | grep -i rke2-ingress-nginx-controller | awk 'NR==1{print $5}')
 
LDAP_ID=$(curl -k https://${INGRESS_IP}/rest/v1/directory-services --header 'Accept: application/json' --header 'Content-Type: application/json' --header "Authorization: Bearer ${PM_TOKEN}" | jq -r '.[0].id')

      10 运行以下命令以启动从 PFxM 到 LDAP 提供程序的同步。

curl -k -X POST https://${INGRESS_IP}/rest/v1/directory-services/${LDAP_ID}/sync --header "Authorization: Bearer ${PM_TOKEN}" --header 'Accept: application/json' --header 'Content-Type: application/json'

提醒：如果成功，上面的命令应该不会返回任何页面到屏幕。等待最多 15 分钟，然后尝试从 PFxM UI 添加用户或组。