Инструкция по настройке LDAP-аутентификации в StarVault / Nova

В статье описывается настройка LDAP-аутентификации в StarVault, где поставщиком учетных записей является MULTIDIRECTORY.

Требование для настройки

• Установленная служба каталогов MULTIDIRECTORY.
• Предустановленный StarVault / Nova.

Подготовка к настройке

• Создайте сервисную учетную запись в MULTIDIRECTORY, у которой будут права на чтение каталога.

Конфигурация StarVault

Для настройки LDAP-авторизации перейдите в веб-интерфейс StarVault.

Перейдите в раздел «Доступ» → «Методы аутентификации» в меню слева.

Нажмите на кнопку «Добавить».

Выберете метод «LDAP» из списка доступных.

Нажмите на кнопку «Включить метод».

В открывшемся окне конфигурации введите «URL» в формате «ldap://exemple.ru».

Откройте «Настройки LDAP» и проставьте чекбоксы «Небезопасный TLS», «Определять DN», «Запретить нулевую привязку» , а также укажите атрибут пользователя для аутентификации.

• sAMAccountName

Описание полей

• Использовать StartTLS —  включить шифрование после незашифрованного соединения.
• Использовать TLS —  отключить проверку SSL — сертификата.
• Определить DN —  автоматически определять Distinguished Name пользователя (рекомендуется включить).
• Запретить нулевую привязку —  запретить анонимные подключения к MULTIDIRECTORY.
• Атрибут пользователя — атрибут для поиска пользователя в MULTIDIRECTORY.
• Домен User Principal (UPN) — домен для формата имени пользователя UPN.

Откройте «Настроить поиск пользователей» и заполните каждое поле.

Описание полей

• Имя объекта привязка (binddn) —  учётная запись для подключения к MULTIDIRECTORY с правами чтения.
• DN пользователя — Базовый Distinguished Name для поиска пользователей в MULTIDIRECTORY.
• Пароль привязки — пароль от учётной записи указанной выше.
• Фильтр поиска пользователей — LDAP-фильтр для поиска пользователей. Стандартный шаблон: ({{.UserAttr}}={{.Username}}).

Откройте «Настроить поиск членства в группах» и заполните каждое поле.

Описание полей

• Фильтр групп — LDAP-фильтр для поиска групп, в которых состоит пользователь.
• Атрибут группы — Атрибут, содержащий имя группы для отображения в политиках доступа. Для MULTIDIRECTORY испльзуйте: cn.
• DN группы — Базовое отличительное имя (Distinguished Name) для поиска групп в каталоге.

Политика доступа StarVault

Перейдите в раздел «Политики» и выберете «Создать ACL политику».

Создайте политику для администратора в представленном формате.

Создайте политику для обычных пользователей в представленном формате.

Группа доступа StarVault

Вернитесь в «Доступ» -> «Методы аутентификации» и выберете «LDAP» и нажмите на кнопку «Создать».

Введите название группы в точности с ее названием в MULTIDIRECTORY и нажмите «Сохранить».

Примечание

В результате должно создаться две группы для администратора и для пользователей.

Процесс аутентификации в StarVault

• Откройте веб-интерфейс StarVault.
• Введите учетные данные пользователя из MULTIDIRECTORY.

Настройка группы пользователей для интеграции с Nova

Перейдите в настройки «Группы» -> «Создать группу».

Заполните данные для создание группы и нажмите сохранить.

описание полей

• Название — название должно совподать с группой доступа в MULTIDIRECTORY.
• Тип — выберите внешний тип.

Перейдите в раздел «Псевдонимы» -> «Изменить псевдоним группы».

описание полей

• Название — название должно совподать с группой доступа в MULTIDIRECTORY.
• Бэкенд аутентификации — выберите ldap/(ldap).
  
  

Перейдите в раздел «OIDC Провайдер» -> «Назначение» -> «Создать назначение».

описание полей

• Название — произвольное наименование.
• Группы — выберите группу, созданную раннее.

Перейдите в раздел «OIDC Провайдер» -> «Приложения» -> «oidc-kubernetec-client».

Нажмите на «Редактировать приложение».

Выберите в меню «Название назначения» раннее созданное назначение.

После внесения данных, перейдите в развернутый сервис «Nova» -> и нажмите «Войти».

После нажатия на кнопку «Войти», вас перекинет на страницу аутентификации в «StarVault».

Выберите метод аутентификации «LDAP» -> введите данные от учетной записи MULTIDIRECTORY.