kubernetes - Dex LDAP连接器中的任务组搜索条件-6ren

kubernetes - Dex LDAP连接器中的任务组搜索条件

转载作者：行者123 更新时间：2023-12-02 12:31:37

25

4

我使用Dex作为我们的身份提供程序，并将其连接到LDAP。以下是我在Dex中的ldap配置:

connectors:
- type: ldap
 id: ldap
 name: LDAP
 config:
   host: myhost.staging.com:636
   insecureNoSSL: false
   insecureSkipVerify: false
   bindDN: cn=prometheus-proxy,ou=serviceaccounts,dc=staging,dc=comp,dc=com
   bindPW: 'prometheus'
   rootCA: /etc/dex/ldap/ca-bundle.pem
   userSearch:
     baseDN: ou=people,dc=staging,dc=comp,dc=com
     filter: "(objectClass=person)"
     username: uid
     idAttr: uid
     emailAttr: mail
     nameAttr: uid
   groupSearch:
     baseDN: ou=appgroups,dc=staging,dc=comp,dc=com
     filter: "(objectClass=groupOfMembers)"
     userAttr: DN
     groupAttr: member
     nameAttr: cn

下面是一个示例userSearch和groupSearch结果:

dn: uid=swedas01,ou=people,dc=staging,dc=comp,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
cn: Sweta Das
gecos: Sweta Das
gidNumber: 50000
givenName: Sweta
mail: Sweta.Das@comp.com
sn: Das
uid: swedas01
memberOf: cn=jenkins,ou=appgroups,dc=staging,dc=comp,dc=com
homeDirectory: /home/swedas01

dn: cn=prometheus,ou=appgroups,dc=staging,dc=comp,dc=com
objectClass: top
objectClass: groupOfMembers
cn: prometheus
member: uid=testl01,ou=people,dc=staging,dc=comp,dc=com

当我登录到使用上述配置的Prometheus实例时，即使我的userID不属于所使用的组(即Prometheus)，我仍然可以登录。

敏捷日志显示没有与我的ID相关的群组。

time="2019-10-07T19:05:48Z" level=info msg="performing ldap search ou=people,dc=staging,dc=comp,dc=com sub (&(objectClass=person)(uid=swedas01))"
time="2019-10-07T19:05:48Z" level=info msg="username \"swedas01\" mapped to entry uid=swedas01,ou=people,dc=staging,dc=comp,dc=com"
time="2019-10-07T19:05:48Z" level=info msg="performing ldap search cn=prometheus,ou=appgroups,dc=staging,dc=comp,dc=com sub (&(objectClass=groupOfMembers)(member=uid=swedas01,ou=people,dc=staging,dc=comp,dc=com))"
time="2019-10-07T19:05:48Z" level=error msg="ldap: groups search with filter \"(&(objectClass=groupOfMembers)(member=uid=swedas01,ou=people,dc=staging,dc=comp,dc=com))\" returned no groups"
time="2019-10-07T19:05:48Z" level=info msg="login successful: connector \"ldap\", username=\"swedas01\", email=\"Sweta.Das@comp.com\", groups=[]"

但是为什么仍然允许我登录？如果组Serach返回空，登录应该失败，有什么方法可以强制执行此设置？

最佳答案

我仍然不确定这是否是正确的答案。但据我所知，Dex的组搜索仅用于ldap搜索。它返回用户所属的组。返回组后，您可以将RBAC策略放在这些组上，以控制要授予用户的访问权限。

但是，对于没有任何身份验证方法的工具(例如Prometheus)，我仍然不确定如何实现ldap组身份验证!

关于kubernetes - Dex LDAP连接器中的任务组搜索条件，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/58276195/

25

4

0

文章推荐： bash - GitLab 作业作业成功但未完成(创建/删除 Azure AKS)

文章推荐： kubernetes - 如何在我的kubelet服务中启用监听10255

mySQL IF 条件 THEN 条件
我正在努力处理查询的 WHERE 部分。查询本身包含一个基于两个表中都存在的 ID 的 LEFT JOIN。但是，我要求 where 语句仅返回其中一列中存在的最大单个结果。目前我返回连接中的所有值，
python - 我的代码有一个 if-else 条件，但我认为代码没有检查 if 条件，而是直接进入 else 条件
我有这个代码来改变文件系统的大小。问题是，即使满足 if 条件，它也不会进入 if 条件，而我根本没有检查 if 条件。它直接进入 else 条件。运行代码后的结果 post-install-ray
excel - SUMIF(条件，值)、SUMPROD(条件，值)和 SUM(条件*值)之间的区别
假设我有一个包含 2 列的 Excel 表格:单元格 A1 到 A10 中的日期和 B1 到 B10 中的值。我想对五月日期的所有值求和。我有3种可能性: {=SUM((MONTH(A1:A10)=
LINQ:选择 <条件> 或 <条件>
伪代码: SELECT * FROM 'table' WHERE ('date' row.date 或，我们在Stack Overflow上找到一个类似的问题： https://stackove
mysql - Yii 条件 - 修改以包含 OR 条件
我有下面这行代码做一个简单的查询 if ($this->fulfilled) $criteria->addCondition('fulfilled ' . (($this->fulfilled
PHP 条件 vs MySQL 条件
如果在数据库中找到用户输入的键，我将尝试显示“表”中的数据。目前我已将其设置为让数据库检查 key 是否存在，如下所示: //Select all from table if a key entry
我们是否可以通过改变 if 条件，在执行完 else 条件后返回执行 if 条件？
关闭。此题需要details or clarity 。目前不接受答案。想要改进这个问题吗？通过 editing this post 添加详细信息并澄清问题. 已关闭 5 年前。 Improve th
mysql - 是否可以先加入 if 条件，然后再加入 Else 条件
在MYSQL中可以吗一共有三个表任务(task_id、task_status、...) tasks_assigned_to(ta_id、task_id、user_id) task_suggeste
mysql - 首先按(条件)排序，然后按(条件)排序
我想先根据用户的状态然后根据用户名来排序我的 sql 请求。该状态由 user_type 列设置: 1=活跃，2=不活跃，3=创始人。我会使用此请求来执行此操作，但它不起作用，因为我想在“活跃”成员
c# - 嵌套的 if 条件 vs 多个分离的 if 条件，每个条件都有 return 语句
下面两个函数中最专业的代码风格是什么？如果函数变得更复杂和更大，例如有 20 个检查怎么办？注意:每次检查后我都需要做一些事情，所以我不能将所有内容连接到一个 if 语句中，例如: if (veh
sql-server - OrderBy().FirstOrDefault(<条件>) 与Where(<条件>).OrderBy().FirstOrDefault()
我在 C# 项目中使用 EntityFramework 6.1.3 和 SQL Server。我有两个查询，基本上应该执行相同的操作。 1. Exams.GroupBy(x=>x.SubjectID)
postgresql - CASE WHEN 条件 1 AND 条件 2 then x else y postgreSQL
我试图在 case when 语句中放入两个条件，但我在 postgresql 中遇到语法错误 case when condition 1 and condition 2 then X else Y
php - 在 LEFT JOIN table1 ON 条件 1 OR 条件 2 中使用 OR 会导致不必要的问题吗？
我正在构建一个连接多个表的查询，一个表 prodRecipe 将包含某些行的数据，但不是全部，但是 tmp_inv1 将包含所有行的计数信息。问题是，tmp_inv1.count 取决于某个项目是否在
SQL INDEX 不用于 WHERE ABS(x-y) < k 条件，但用于 y - k < x < y + k 条件
我有一个涉及 couples of rows which have a less-than-2-hours time-difference 的查询(~0.08333 天): SELECT mt1.*,
Perl OR 条件
我有一个包含许多这样的 OR 条件的代码(工作正常)来检查其中一个值是否为空，然后我们抛出一条错误消息(所有这些都必须填写) } elsif ( !$params{'account'}
SQL 条件 where
我有一个名为 spGetOrders 的存储过程，它接受一些参数:@startdate 和 @enddate。这将查询“订单”表。表中的一列称为“ClosedDate”。如果订单尚未关闭，则此列将保留
LINQ - if 条件
在代码中，注释部分是我需要解决的问题...有没有办法在 LINQ 中编写这样的查询？我需要这个，因为我需要根据状态进行排序。 var result = ( from contact in d
SQL:条件 AND in where
我正在尝试创建一个允许省略参数的存储过程，但如果提供了参数，则进行 AND 操作: CREATE PROCEDURE MyProcedure @LastName Varchar(30)
正则表达式 IF 条件
我正在寻找一种方法来过滤我的主机文件中的新 IP 地址。我创建了一个脚本，每次我用来自矩阵企业管理器的数据调用它时都会更新我的主机文件。它工作正常。但是我必须找到一个解决方案，只允许更新 10.XX.
jQuery 条件
所以我正在做一种 slider ，当它完全向下时隐藏向下按钮，反之亦然，当向上按钮隐藏时，我遇到了问题。 var amount = $('slide').attr('number'); $('span

首页

博学

6Ren·AI

商城

kubernetes - Dex LDAP连接器中的任务组搜索条件