(三)Harbor使用OpenLDAP认证登陆

接上一篇《安装Harbor》,安装好之后,接下来我们使用OpenLDAP来进行Harbor  web界面的登陆验证及权限分配!

 

OpenLDAP:

  使用OpenLDAP的都知道,这是一个集中的用户账号管理系统;使用轻量级目录访问协议(LDAP)构建集中的身份验证系统可以减少管理成本,增强安全性,避免数据复制的问题,并提高数据的一致性。

随着服务器的增加,随着用户权限的复杂性增加,只有几台服务器时,可能你还可以每台机器都去手动的新建几个用户,或者设置权限。

但如果是几十、几百、上千或者更多的机器呢?难道你还一个个的手动去新建用户吗?一个公司如果有着几十、几百或更多的人员时,难道你还能手动的操作吗?更别说复杂的权限设置了......

  OpenLDAP就是因此而生的其中一个集中的用户账号管理系统,而我认为这也是一个比较好的管理系统。

  我们公司200左右的人,3000+的服务器,不同的部门,不同的项目,不同的人员,reader或者是新人,每个人都有他们自己的账号,不同的权限。我们只能使用OpenLDAP进行这些复杂的权限账号管理。

基于此,docker的registry镜像仓库,这么复杂的人员分布,这么多的业务与项目,难道我们也一个个的新建registry账号或者共用一个账号吗?很明显这是不可能的!

既然我们上面用了Harbor,恰好Harbor也支持OpenLDAP进行账户管理,这也是我们看中Harbor作为docker registry镜像仓库其中重要的一点!这样只需要维护OpenLDAP这一套系统就可以了,跟以前完全不冲突,也完全不需要重新定义每个人的用户密码!

 

转载请标明出处:http://www.cnblogs.com/huangjc/p/6272938.html

 

下面我们就进入正式的操作吧:

Harbor默认是使用mysql数据库进行用户管理,那么我们就需要修改Harbor的配置文件:

#  vim harbor.cfg
#编辑如下几行:
auth_mode = ldap_auth  #验证模式
ldap_url = ldaps://172.16.100.100  #openldap  server
ldap_basedn = ou=people,dc=mydomain,dc=com  #这个根据自己的实际情况修改咯

保存之后,停止harbor:

docker-compose stop

然后重新执行install:

./install.sh

到此,就修改配置完成并生效啦!

 

接下来登陆浏览器测试操作并设置相关权限:

 首先说明一下,我这里发现的一个小问题:OpenLDAP的用户需要先登陆一次Harbor界面,后续Harbor才能对其进行权限的操作;这个应该是Harbor先前并不知道OpenLDAP有这个用户的存在,只有登陆了之后才记录了这个用户的原因吧!!

 当然这个也可能是我设置的问题吧,后续哪位大牛看到并且有好的方法,烦请指点一下!

(1)首先登陆一个我自己的用户,会看到只能新建自己的项目,并push/pull自己的镜像,其他人的仓库都不能操作,也没有备份策略等:

我新建了一个我自己的项目,但是没有备份权限,也只能操作我自己的项目,可以新加其他用户访问我的项目:

登陆gxx这个用户,发现这个用户也能访问我创建的项目:

 

(2)对用户进行权限设置:

admin是Harbor默认的超级管理员,可以看到所有人的项目,所有的操作都可以使用admin来进行操作,当然也可以赋予别人为管理员:

 登陆admin后,可以看到刚才由huangjc用户所创建的项目,也可以将gxx用户提升为这个项目的管理员:

admin也可以将某个用户提升为Harbor  web的管理员,这样这个用户就可以像admin一样具有Harbor操作的所有权限:

登陆huangjc这个用户,你就会发现,这些是管理员才拥有的权限,现在我也拥有了,我现在的权限就跟admin一样了:

到此,Harbor的OpenLDAP的操作就这样先吧!

posted @ 2017-01-12 14:38  Huangjc  阅读(4768)  评论(1编辑  收藏  举报