16.4. LDAP 그룹 자동 동기화
cron 작업을 구성하여 정기적으로 LDAP 그룹을 동기화할 수 있습니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다. LDAP ID 공급자(IDP)를 구성했습니다.
이 절차에서는
ldap-secret이라는 LDAP 시크릿과ca-config-map이라는 구성 맵을 생성했다고 가정합니다.
절차
cron 작업이 실행될 프로젝트를 생성합니다.
$ oc new-project ldap-sync 1- 1
- 이 절차에서는
ldap-sync라는 프로젝트를 사용합니다.
LDAP ID 공급자를 구성할 때 생성한 시크릿 및 구성 맵을 찾아 이 새 프로젝트에 복사합니다.
시크릿 및 구성 맵은
openshift-config프로젝트에 있으며 새ldap-sync프로젝트에 복사해야 합니다.서비스 계정을 정의합니다.
예:
ldap-sync-service-account.yamlkind: ServiceAccount apiVersion: v1 metadata: name: ldap-group-syncer namespace: ldap-sync
서비스 계정을 생성합니다.
$ oc create -f ldap-sync-service-account.yaml
클러스터 역할을 정의합니다.
예:
ldap-sync-cluster-role.yamlapiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: ldap-group-syncer rules: - apiGroups: - '' - user.openshift.io resources: - groups verbs: - get - list - create - update클러스터 역할을 생성합니다.
$ oc create -f ldap-sync-cluster-role.yaml
클러스터 역할을 서비스 계정에 바인딩할 클러스터 역할 바인딩을 정의합니다.
예:
ldap-sync-cluster-role-binding.yamlkind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: ldap-group-syncer subjects: - kind: ServiceAccount name: ldap-group-syncer 1 namespace: ldap-sync roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: ldap-group-syncer 2클러스터 역할 바인딩을 생성합니다.
$ oc create -f ldap-sync-cluster-role-binding.yaml
동기화 구성 파일을 지정하는 구성 맵을 정의합니다.
예:
ldap-sync-config-map.yamlkind: ConfigMap apiVersion: v1 metadata: name: ldap-group-syncer namespace: ldap-sync data: sync.yaml: | 1 kind: LDAPSyncConfig apiVersion: v1 url: ldaps://10.0.0.0:389 2 insecure: false bindDN: cn=admin,dc=example,dc=com 3 bindPassword: file: "/etc/secrets/bindPassword" ca: /etc/ldap-ca/ca.crt rfc2307: 4 groupsQuery: baseDN: "ou=groups,dc=example,dc=com" 5 scope: sub filter: "(objectClass=groupOfMembers)" derefAliases: never pageSize: 0 groupUIDAttribute: dn groupNameAttributes: [ cn ] groupMembershipAttributes: [ member ] usersQuery: baseDN: "ou=users,dc=example,dc=com" 6 scope: sub derefAliases: never pageSize: 0 userUIDAttribute: dn userNameAttributes: [ uid ] tolerateMemberNotFoundErrors: false tolerateMemberOutOfScopeErrors: false
config map을 생성합니다.
$ oc create -f ldap-sync-config-map.yaml
cron 작업을 정의합니다.
예:
ldap-sync-cron-job.yamlkind: CronJob apiVersion: batch/v1beta1 metadata: name: ldap-group-syncer namespace: ldap-sync spec: 1 schedule: "*/30 * * * *" 2 concurrencyPolicy: Forbid jobTemplate: spec: backoffLimit: 0 template: spec: containers: - name: ldap-group-sync image: "registry.redhat.io/openshift4/ose-cli:latest" command: - "/bin/bash" - "-c" - "oc adm groups sync --sync-config=/etc/config/sync.yaml --confirm" 3 volumeMounts: - mountPath: "/etc/config" name: "ldap-sync-volume" - mountPath: "/etc/secrets" name: "ldap-bind-password" - mountPath: "/etc/ldap-ca" name: "ldap-ca" volumes: - name: "ldap-sync-volume" configMap: name: "ldap-group-syncer" - name: "ldap-bind-password" secret: secretName: "ldap-secret" 4 - name: "ldap-ca" configMap: name: "ca-config-map" 5 restartPolicy: "Never" terminationGracePeriodSeconds: 30 activeDeadlineSeconds: 500 dnsPolicy: "ClusterFirst" serviceAccountName: "ldap-group-syncer"
cron 작업을 생성합니다.
$ oc create -f ldap-sync-cron-job.yaml
추가 리소스
