(三)Harbor使用OpenLDAP认证登陆
接上一篇《安装Harbor》,安装好之后,接下来我们使用OpenLDAP来进行Harbor web界面的登陆验证及权限分配!
OpenLDAP:
使用OpenLDAP的都知道,这是一个集中的用户账号管理系统;使用轻量级目录访问协议(LDAP)构建集中的身份验证系统可以减少管理成本,增强安全性,避免数据复制的问题,并提高数据的一致性。
随着服务器的增加,随着用户权限的复杂性增加,只有几台服务器时,可能你还可以每台机器都去手动的新建几个用户,或者设置权限。
但如果是几十、几百、上千或者更多的机器呢?难道你还一个个的手动去新建用户吗?一个公司如果有着几十、几百或更多的人员时,难道你还能手动的操作吗?更别说复杂的权限设置了......
OpenLDAP就是因此而生的其中一个集中的用户账号管理系统,而我认为这也是一个比较好的管理系统。
我们公司200左右的人,3000+的服务器,不同的部门,不同的项目,不同的人员,reader或者是新人,每个人都有他们自己的账号,不同的权限。我们只能使用OpenLDAP进行这些复杂的权限账号管理。
基于此,docker的registry镜像仓库,这么复杂的人员分布,这么多的业务与项目,难道我们也一个个的新建registry账号或者共用一个账号吗?很明显这是不可能的!
既然我们上面用了Harbor,恰好Harbor也支持OpenLDAP进行账户管理,这也是我们看中Harbor作为docker registry镜像仓库其中重要的一点!这样只需要维护OpenLDAP这一套系统就可以了,跟以前完全不冲突,也完全不需要重新定义每个人的用户密码!
转载请标明出处:http://www.cnblogs.com/huangjc/p/6272938.html
下面我们就进入正式的操作吧:
Harbor默认是使用mysql数据库进行用户管理,那么我们就需要修改Harbor的配置文件:
# vim harbor.cfg #编辑如下几行: auth_mode = ldap_auth #验证模式 ldap_url = ldaps://172.16.100.100 #openldap server ldap_basedn = ou=people,dc=mydomain,dc=com #这个根据自己的实际情况修改咯
保存之后,停止harbor:
docker-compose stop
然后重新执行install:
./install.sh
到此,就修改配置完成并生效啦!
接下来登陆浏览器测试操作并设置相关权限:
首先说明一下,我这里发现的一个小问题:OpenLDAP的用户需要先登陆一次Harbor界面,后续Harbor才能对其进行权限的操作;这个应该是Harbor先前并不知道OpenLDAP有这个用户的存在,只有登陆了之后才记录了这个用户的原因吧!!
当然这个也可能是我设置的问题吧,后续哪位大牛看到并且有好的方法,烦请指点一下!
(1)首先登陆一个我自己的用户,会看到只能新建自己的项目,并push/pull自己的镜像,其他人的仓库都不能操作,也没有备份策略等:
我新建了一个我自己的项目,但是没有备份权限,也只能操作我自己的项目,可以新加其他用户访问我的项目:
登陆gxx这个用户,发现这个用户也能访问我创建的项目:
(2)对用户进行权限设置:
admin是Harbor默认的超级管理员,可以看到所有人的项目,所有的操作都可以使用admin来进行操作,当然也可以赋予别人为管理员:
登陆admin后,可以看到刚才由huangjc用户所创建的项目,也可以将gxx用户提升为这个项目的管理员:
admin也可以将某个用户提升为Harbor web的管理员,这样这个用户就可以像admin一样具有Harbor操作的所有权限:
登陆huangjc这个用户,你就会发现,这些是管理员才拥有的权限,现在我也拥有了,我现在的权限就跟admin一样了:
到此,Harbor的OpenLDAP的操作就这样先吧!