Authentication 将Kubernetes连接到AD

我已经创建了一个Kubernetes群集，我希望使用LDAP将其连接到我的Active Directory，因此它的行为如下：

任何想要运行

kubectl

的人都必须首先进行身份验证（该身份验证应针对我的广告）。最好是单点登录（SSO），这意味着认证应该每隔一段时间（会话）进行一次

---

然而，我在官方的Kubernetes文档中找不到类似的内容，所以我想知道有什么可能的建议？

首先，实现这一点没有简单的方法。一种方法是实现以下目标

第一部分是安装

Dex是由CoreOS完成的OpenID连接提供程序。Dex可以将身份验证延迟到LDAP服务器

第二部分是安装和配置

这是由Hepito提供的，它将与OIDC提供商（即Dex）对话，并且它有一个配置kubectl的UI（通过下载kubeconfig）

对于SSO，Joel Speed form Pusher写了一篇很棒的文章，它也使用了dex，但UI是定制的

希望对您有所帮助

1如果您熟悉Canonical的自动化系统juju，您将非常熟悉CDK的部署过程

2 CDK不仅部署Kubernetes，还将部署您的主机

3除了主机和Kubernetes之外，CDK还将安装NGINX入口控制器，并可以部署Helm、Prometheus和其他流行的附加组件

要将OpenUnison与Active Directory集成，您需要做以下几件事：

1 Active Directory域控制器的IP地址或DNS主机名

2您的域的证书

3只读服务帐户

---

您能详细说明我需要安装什么样的DEX吗？您必须安装DEX，然后添加ldap插件。您必须在kub api服务器中添加OIDC，重新启动api服务器并检查令牌是否正常工作，然后才能安装连接到dex的舷梯。