Инструкция по настройке LDAP-аутентификации в ArgoCD

Краткое описание

В статье описывается настройка LDAP-аутентификации в ArgoCD, где поставщиком учетных записей является MULTIDIRECTORY.

Для интеграции ArgoCD с MULTIDIRECTORY, необходимо создать пользователя, который будет выступать администратором ArgoCD и с помощью которого будет осуществляться чтение LDAP каталога, для авторизации пользователей в систему.

Требование к установке

• Установленная служба каталогов MULTIDIRECTORY.
• Развернутая система ArgoCD (рекомендуем использовать Helm chart).

Подготовка к настройке

• Создайте сервисную учетную запись в MULTIDIRECTORY, у которой будут права на чтение каталога.
• Создайте группы доступа в MULTIDIRECTORY для пользователей ArgoCD.

Конфигурация ArgoCD

Для настройки LDAP-аутентефикации на сервере, где расположена ArgoCD отредактируйте файл argocd-cm.yaml Пример конфигурации argocd-cm.yaml, раздела настройки «dex» (сервер LDAP аутентификации).

Внесите данные в конец файла argocd-cm.yaml:

dex.config: |
  connectors:
  - type: ldap
    name: LDAP                                  # любое наименование (отображается на приветственной странице argocd);
    id: ldap
    config:
      host: md.loc:389                          # ip адрес или доменное имя сервера MULTIDIRECTORY + порт (389 - ldap, 636 - ldaps);
      insecureNoSSL: true                       # true — подключение без использования LDAPS (SSL);
      insecureSkipVerify: true                  # пропуск проверки сертификата (актуально при само подписанном сертификате);
      bindDN: cn=admin,ou=users,dc=md,dc=loc    # DN учетной записи, с которой выполняется bind (авторизации и поиска в MULTIDIRECTORY);
      bindPW: "Password"                        # пароль bind-пользователя;
      usernamePrompt: Username                  # текст подсказки на форме входа (что вводить в поле логина);
      userSearch:
        baseDN: "ou=users,dc=md,dc=loc"         # базовый DN, откуда начинается поиск пользователей;
        filter: "(objectClass=user)"            # фильтр поиска (ограничивает выборку только объектами класса user);
        username: sAMAccountName                # атрибут, используемый как логин;
        emailAttr: sAMAccountName               # обязательный атрибут, который dex будет использовать в качестве Username в интерфейсе argocd в разделе (user info);
        idAttr: dn                              # уникальный идентификатор пользователя (DN записи в LDAP);
        nameAttr: cn                            # отображаемое имя пользователя;

url: "https://localhost:8080"                   # адрес, по которому доступен ArgoCD (используется при перенаправление/редиректах);

После внесения изменений в конфигурационный файл, необходимо применить конфигурацию.

kubectl apply -f argocd-cm.yaml -n argocd

После применения конфигурации, необходимо перезапустить POD argocd-dex-server.

kubectl delete pod -n argocd -l app.kubernetes.io/name=argocd-dex-server

Перейдите в ArgoCD, нажмите LOG IN VIA LDAP и введите свои данные УЗ(учетной записи).

Просмотр логов argocd-dex-server для анализа авторизации в системе.

kubectl logs -n argocd deploy/argocd-dex-server -f