17.6. LDAP 동기화 구성 사양

구성 파일의 오브젝트 사양은 다음과 같습니다. 필드는 스키마 오브젝트에 따라 달라집니다. 예를 들어, v1.ActiveDirectoryConfig에는 groupsQuery 필드가 없지만 v1.RFC2307Config 및 v1.AugmentedActiveDirectoryConfig에는 있습니다.

중요

바이너리 속성은 지원되지 않습니다. LDAP 서버에서 제공하는 모든 속성 데이터는 UTF-8 인코딩 문자열 형식이어야 합니다. 예를 들면 objectGUID와 같은 바이너리 속성을 ID 속성으로 사용하지 마십시오. 그 대신 sAMAccountName 또는 userPrincipalName과 같은 문자열 속성을 사용해야 합니다.

17.6.1. v1.LDAPSyncConfig

LDAPSyncConfig에는 LDAP 그룹 동기화를 정의하는 데 필요한 구성 옵션이 있습니다.

이름설명스키마

kind

이 오브젝트가 나타내는 REST 리소스에 해당하는 문자열 값입니다. 서버는 클라이언트에서 요청을 제출한 끝점에서 이를 유추할 수 있습니다. CamelCase로 업데이트할 수 없습니다. 자세한 내용은 https://github.com/kubernetes/community/blob/master/contributors/devel/sig-architecture/api-conventions.md#types-kinds를 참조하십시오.

문자열

apiVersion

버전이 지정된 이 오브젝트 표현의 스키마를 정의합니다. 서버는 인식된 스키마를 최신 내부 값으로 변환해야 하며, 인식되지 않는 값을 거부할 수 있습니다. 자세한 내용은 https://github.com/kubernetes/community/blob/master/contributors/devel/sig-architecture/api-conventions.md#resources를 참조하십시오.

문자열

url

호스트는 연결할 LDAP 서버의 스키마, 호스트 및 포트입니다(scheme://host:port).

문자열

bindDN

LDAP 서버에 바인딩할 선택적 DN입니다.

문자열

bindPassword

검색 단계에서 바인딩할 선택적 암호입니다.

v1.StringSource

insecure

true인 경우 연결에서 TLS를 사용하지 않아야 함을 나타냅니다. false인 경우 ldaps:// URL은 TLS를 사용하여 연결되고, ldap:// URL은 https://tools.ietf.org/html/rfc2830에 지정된 StartTLS를 사용하여 TLS 연결로 업그레이드됩니다. insecuretrue로 설정하는 경우 ldaps:// URL 스키마를 사용할 수 없습니다.

부울

ca

서버에 요청할 때 사용하는 신뢰할 수 있는 인증 기관 번들 옵션입니다. 비어있는 경우 기본 시스템 루트가 사용됩니다.

문자열

groupUIDNameMapping

LDAP 그룹 UID를 OpenShift Container Platform 그룹 이름에 직접 매핑하는 옵션입니다.

오브젝트

rfc2307

RFC2307과 유사한 방식으로 설정된 LDAP 서버에서 데이터를 추출하는 구성이 있습니다. 최상위 그룹 및 사용자 항목이 있고 멤버를 나열하는 그룹 항목 다중값 속성에 따라 그룹 멤버십이 결정됩니다.

v1.RFC2307Config

activeDirectory

Active Directory 방식과 유사한 방식으로 설정된 LDAP 서버에서 데이터를 추출하는 구성이 있습니다. 최상위 사용자 항목이 있고 멤버가 속한 그룹을 나열하는 멤버 다중값 속성에 따라 그룹 멤버십이 결정됩니다.

v1.ActiveDirectoryConfig

augmentedActiveDirectory

위에서 설명한 Active Directory 방식과 유사한 방식으로 설정된 LDAP 서버에서 데이터를 추출하는 구성이 있습니다. 단, 최상위 그룹 항목이 존재하고 여기에 그룹 멤버십이 아닌 메타데이터를 보관합니다.

v1.AugmentedActiveDirectoryConfig

17.6.2. v1.StringSource

StringSource를 사용하면 문자열을 인라인으로 지정하거나 환경 변수 또는 파일을 통해 외부에서 지정할 수 있습니다. 문자열 값만 포함하는 경우 간단한 JSON 문자열로 마샬링됩니다.

이름설명스키마

value

일반 텍스트 값 또는 keyFile이 지정된 경우 암호화된 값을 지정합니다.

문자열

env

일반 텍스트 값을 포함하는 환경 변수 또는 keyFile이 지정된 경우 암호화된 값을 지정합니다.

문자열

file

일반 텍스트 값이 포함된 파일 또는 keyFile이 지정된 경우 암호화된 값을 참조합니다.

문자열

keyFile

값을 해독하는 데 사용할 키가 들어 있는 파일을 참조합니다.

문자열

17.6.3. v1.LDAPQuery

LDAPQuery에는 LDAP 쿼리를 빌드하는 데 필요한 옵션이 있습니다.

이름설명스키마

baseDN

모든 검색을 시작하는 디렉터리 분기의 DN입니다.

문자열

scope

검색 범위 옵션입니다. base(기본 오브젝트만), one(기본 수준의 모든 오브젝트), sub(전체 하위 트리)를 사용할 수 있습니다. 설정하지 않는 경우 기본값은 sub입니다.

문자열

derefAliases

별칭과 관련된 검색 동작 옵션입니다. never(별칭을 역참조하지 않음), search(검색에서만 역참조), base(기본 오브젝트를 찾을 때만 역참조), always(항상 역참조)가 될 수 있습니다. 설정하지 않는 경우 기본값은 always입니다.

문자열

timeout

응답 대기를 종료하기 전에 서버에 대한 요청을 처리 중 상태로 유지할 수 있는 시간(초)이 있습니다. 이 값이 0이면 클라이언트 쪽 제한이 적용되지 않습니다.

정수

filter

기본 DN이 있는 LDAP 서버에서 관련 항목을 모두 검색하는 유효한 LDAP 검색 필터입니다.

문자열

pageSize

LDAP 항목으로 측정한 최대 기본 페이지 크기입니다. 페이지 크기가 0이면 페이징이 수행되지 않습니다.

정수

17.6.4. v1.RFC2307Config

RFC2307Config에는 RFC2307 스키마를 사용하여 LDAP 그룹 동기화에서 LDAP 서버와 상호 작용하는 방식을 정의하는 데 필요한 구성 옵션이 있습니다.

이름설명스키마

groupsQuery

그룹 항목을 반환하는 LDAP 쿼리용 템플릿이 있습니다.

v1.LDAPQuery

groupUIDAttribute

고유 식별자로 해석되는 LDAP 그룹 항목의 속성을 정의합니다(ldapGroupUID).

문자열

groupNameAttributes

OpenShift Container Platform 그룹에 사용할 이름으로 해석되는 LDAP 그룹 항목의 속성을 정의합니다.

문자열 배열

groupMembershipAttributes

멤버로 해석되는 LDAP 그룹 항목의 속성을 정의합니다. 해당 속성에 포함된 값을 UserUIDAttribute로 쿼리할 수 있어야 합니다.

문자열 배열

usersQuery

사용자 항목을 반환하는 LDAP 쿼리용 템플릿이 있습니다.

v1.LDAPQuery

userUIDAttribute

고유 식별자로 해석되는 LDAP 사용자 항목의 속성을 정의합니다. GroupMembershipAttributes에 있는 값과 일치해야 합니다.

문자열

userNameAttributes

OpenShift Container Platform 사용자 이름으로 사용할 LDAP 사용자 항목의 속성을 순서대로 정의합니다. 값이 비어 있지 않은 첫 번째 속성이 사용됩니다. 이 값은 LDAPPasswordIdentityProviderPreferredUsername 설정과 일치해야 합니다. OpenShift Container Platform 그룹 레코드에서 사용자 이름으로 사용할 속성입니다. mail 또는 sAMAccountName 은 대부분의 설치에서 선호됩니다.

문자열 배열

tolerateMemberNotFoundErrors

누락된 사용자 항목이 있는 경우 LDAP 동기화 작업의 동작을 결정합니다. true인 경우 찾지 못한 사용자에 대한 LDAP 쿼리가 허용되며, 오류만 기록됩니다. false인 경우 사용자에 대한 쿼리에서 아무것도 찾지 못하면 LDAP 동기화 작업이 실패합니다. 기본값은 false입니다. 이 플래그를 true로 설정하여 LDAP 동기화 작업을 잘못 구성하면 그룹 멤버십이 제거될 수 있으므로 이 플래그를 주의해서 사용하십시오.

부울

tolerateMemberOutOfScopeErrors

범위를 벗어난 사용자 항목이 있는 경우 LDAP 동기화 작업의 동작을 결정합니다. true인 경우 모든 사용자 쿼리에 지정된 기본 DN을 벗어나는 사용자의 LDAP 쿼리가 허용되며 오류만 기록됩니다. false인 경우 사용자 쿼리가 모든 사용자 쿼리에서 지정하는 기본 DN 외부에서 검색하면 LDAP 동기화 작업이 실패합니다. 이 플래그를 true로 설정하여 LDAP 동기화 작업을 잘못 구성하면 그룹에서 사용자가 누락될 수 있으므로 이 플래그를 주의해서 사용하는 것이 좋습니다.

부울

17.6.5. v1.ActiveDirectoryConfig

ActiveDirectoryConfig에는 Active Directory 스키마를 사용하여 LDAP 그룹 동기화에서 LDAP 서버와 상호 작용하는 방식을 정의하는 데 필요한 구성 옵션이 있습니다.

이름설명스키마

usersQuery

사용자 항목을 반환하는 LDAP 쿼리용 템플릿이 있습니다.

v1.LDAPQuery

userNameAttributes

OpenShift Container Platform 사용자 이름으로 해석되는 LDAP 사용자 항목의 속성을 정의합니다. OpenShift Container Platform 그룹 레코드에서 사용자 이름으로 사용할 속성입니다. mail 또는 sAMAccountName 은 대부분의 설치에서 선호됩니다.

문자열 배열

groupMembershipAttributes

멤버가 속한 그룹으로 해석되는 LDAP 사용자 항목의 속성을 정의합니다.

문자열 배열

17.6.6. v1.AugmentedActiveDirectoryConfig

AugmentedActiveDirectoryConfig에는 보강된 Active Directory 스키마를 사용하여 LDAP 그룹 동기화에서 LDAP 서버와 상호 작용하는 방식을 정의하는 데 필요한 구성 옵션이 있습니다.

이름설명스키마

usersQuery

사용자 항목을 반환하는 LDAP 쿼리용 템플릿이 있습니다.

v1.LDAPQuery

userNameAttributes

OpenShift Container Platform 사용자 이름으로 해석되는 LDAP 사용자 항목의 속성을 정의합니다. OpenShift Container Platform 그룹 레코드에서 사용자 이름으로 사용할 속성입니다. mail 또는 sAMAccountName 은 대부분의 설치에서 선호됩니다.

문자열 배열

groupMembershipAttributes

멤버가 속한 그룹으로 해석되는 LDAP 사용자 항목의 속성을 정의합니다.

문자열 배열

groupsQuery

그룹 항목을 반환하는 LDAP 쿼리용 템플릿이 있습니다.

v1.LDAPQuery

groupUIDAttribute

고유 식별자로 해석되는 LDAP 그룹 항목의 속성을 정의합니다(ldapGroupUID).

문자열

groupNameAttributes

OpenShift Container Platform 그룹에 사용할 이름으로 해석되는 LDAP 그룹 항목의 속성을 정의합니다.

문자열 배열