コンテンツにスキップ
|
Kong Gateway
3.4.x LTS
report-issue問題を報告する
旧バージョンのドキュメントを参照しています。 最新のドキュメントはこちらをご参照ください。

LDAP サービスディレクトリグループを Kong ロールにマッピングする

サービスディレクトリマッピングにより、組織はKong Gatewayでの認証と承認にLDAPディレクトリを使用できるようになります。

必要な構成でKong Gatewayを開始した後、ユーザー名がLDAPディレクトリ内のユーザー名と一致する新しい管理者を作成できます。その後、これらのユーザーはKong Managerへの招待を受け入れ、LDAP認証情報でログインできるようになります。

Kongでのサービスディレクトリマッピングの仕組みは以下のとおりです。

  • ロールは、Admin APIまたはKong Managerを使用してKong Gatewayに作成されます。
  • グループが作成され、ロールがグループに関連付けられます。
  • ユーザーがKong Managerにログインすると、所属するグループに基づいて権限が付与されます。

たとえば、サービスディレクトリでユーザーのグループが変更されると、次にKong Managerにログインしたときに、 Kong GatewayでKong管理者アカウントに関連付けられたロールも変更されます。このマッピングにより、サービスディレクトリが記録システムになるため、Kong Gatewayで手動でアクセスを管理する手間が省けます。

前提条件

  • Kong Gatewayがインストールおよび構成済み
  • Kong Managerのアクセス
  • ローカルの LDAP ディレクトリがある

LDAP認証を有効化

LDAPディレクトリを認証と承認に使用するようにサービスディレクトリマッピングを設定します。

  1. Kong Gatewayを起動します。シェルから、次のように入力します。

    kong start [-c /path/to/kong/conf]

  2. LDAP Authenticationを有効にし、Kong ManagerのRBACを適用するには、次のプロパティでkong.confを通じてKongを構成します。

    enforce_rbac = on
admin_gui_auth = ldap-auth-advanced
admin_gui_session_conf = { "secret":"set-your-string-here" }

    Kong Managerはバックグラウンドでセッションプラグインも使用します。このプラグイン(admin_gui_session_confで構成)にはシークレットが必要であり、デフォルトで安全に構成されています。

    • どのような状況においても、secret は手動で文字列に設定する必要があります。
    • HTTPSではなくHTTPを使用する場合は、cookie_secureを手動でfalseに設定する必要があります。* Admin APIとKong Managerに異なるドメインを使用する場合、cookie_same_siteLaxに設定する必要があります。

    これらのプロパティの詳細については、Kong ManagerのSessionセキュリティを参照し、構成例を確認してください。

LDAP認証の構成

次のプロパティを使用してKong ManagerのLDAP認証を構成します。以下に定義する属性変数に注意してください。

admin_gui_auth_conf = {
 "anonymous":"", \
 "attribute":"<enter_your_attribute_here id="sl-md0000000">", \
 "bind_dn":"<enter_your_bind_dn_here id="sl-md0000000">", \
 "base_dn":"<enter_your_base_dn_here id="sl-md0000000">", \
 "cache_ttl": 2, \
 "header_type":"Basic", \
 "keepalive":60000, \
 "ldap_host":"<enter_your_ldap_host_here id="sl-md0000000">", \
 "ldap_password":"<enter_your_ldap_password_here id="sl-md0000000">", \
 "ldap_port":389, \
 "start_tls":false, \
 "timeout":10000, \
 "verify_ldap_host":true, \
 "consumer_by":["username", "custom_id"], \
 "group_base_dn":"<enter_your_group_base_dn_here id="sl-md0000000">",
 "group_name_attribute":"<enter_your_group_name_attribute_here id="sl-md0000000">",
 "group_member_attribute":"<enter_your_group_member_attribute_here id="sl-md0000000">",
}
属性 説明
attribute LDAPユーザーを識別するために使用される属性。
たとえば、LDAPユーザーをユーザー名で管理者にマッピングするには、 uidを設定します。
bind_dn LDAPバインドDN(識別名)。ユーザーのLDAP検索を実行するために使用されます。このbind_dnには、認証中のユーザーを検索する権限が必要です。
たとえば、uid=einstein,ou=scientists,dc=ldap,dc=com
base_dn LDAPベースDN(識別名)。
ou=scientists,dc=ldap,dc=comはその一例です。
ldap_host LDAPホストドメイン。
たとえば、 ec2-XX-XXX-XX-XXX.compute-1.amazonaws.com
ldap_port デフォルトのLDAP ポートは389です。636はSSL LDAPおよびADに必要なポートです。ldapsが構成されている場合は、ポート636を使用する必要があります。より複雑なActive Directory(AD)環境では、ドメインコントローラーとポート389の代わりに、グローバルカタログのホストとポートの使用を検討してください。デフォルトではポート3268を使用します。
ldap_password LDAP パスワード。
他の構成プロパティと同様に、機密情報は構成ファイルに直接書き込むのではなく、環境変数として設定できます。
group_base_dn LDAPがグループの検索を開始するエントリの識別名を設定します。
デフォルトはconf.base_dnの値です。
group_name_attribute グループの名前を保持する属性を設定します。通常、 name (Active Directoryの場合)またはcn (OpenLDAP の場合)と呼ばれます。
デフォルトはconf.attributeからの値です。
group_member_attribute LDAPグループのメンバーを保持する属性を設定します。
デフォルトは memberOf です。

ロール権限を定義する

Admin APIのRBAC エンドポイントを使用するか、Kong Managerのチームページを使用して、 Kong Gatewayで権限を持つロールを定義します。次のいずれかを使用して、どのKongロールがサービスディレクトリの各グループに対応するかを手動で定義する必要があります。

  • Kong Managerのディレクトリマッピングセクション。 Teams > Groups タブにあります。
  • Admin APIのディレクトリマッピングエンドポイントを使用します。

Kong Gatewayはサービスディレクトリに書き込みません。たとえば、 Kong Gateway管理者はディレクトリ内にユーザーまたはグループを作成できません。ユーザーとグループをKong Gatewayにマッピングする前に、個別に作成する必要があります。

ユーザーと管理者のマッピング

サービス ディレクトリ ユーザーを Kong 管理者にマップするには、管理者のユーザー名をadmin_gui_auth_confで構成された属性に対応する 名前 の値にマップします。Kong Managerで管理者アカウントを作成するか、Admin APIを使用します。

ブートストラップされたスーパーアドミンとディレクトリユーザーでペアを組む方法に関する手順については、ディレクトリユーザーを最初のスーパーアドミンとして設定を参照してください。

既にロールが割り当てられている管理者がいる状態で、代わりにグループマッピングを使用する場合は、最初にすべてのロールを削除する必要があります。サービスディレクトリは、ユーザー権限の記録システムとして機能します。割り当てられたロールは、グループからマップされたロールに加えて、ユーザーの権限にも影響します。

グループロールの割り当て

サービスディレクトリマッピングを使用すると、グループがロールにマッピングされます。ユーザーがログインすると、管理者のユーザー名で識別され、サービスディレクトリで一致するユーザー認証情報で認証されます。 その後、サービスディレクトリ内のグループは、組織が定義した関連する役割と自動的に対応付けられます。

  1. Example Corpは、サービスディレクトリグループT1-Mgmtを Kongのロールのスーパー管理者にマッピングします。
  2. Example Corpは、 example-userという名前のサービスディレクトリユーザーを、同じ名前example-userのKong管理者アカウントにマッピングします。
  3. ユーザーexample-userは、LDAP ディレクトリ内のグループT1-Mgmtに割り当てられています。

example-userがKong Managerに管理者としてログインすると、マッピングの結果として自動的にスーパー管理者ロールが与えられます。

Example CorpがT1-Mgmtへの割り当てを削除してexample-userの権限を取り消すことにした場合、ログインしようとするとスーパー管理者の役割が失われます。

ディレクトリユーザーを最初のスーパー管理者として設定

Kong は、ディレクトリユーザーを最初のスーパー管理者として設定することを推奨しています。

この例では、一意の識別子(UID)を使用して構成された属性と、スーパー管理者にしたいディレクトリユーザーが、UID=example-user という識別名(DN)エントリを持っていることを示しています。

curl -i -X PATCH https://localhost:8001/admins/kong_admin \
  --header 'Kong-Admin-Token: <rbac_token id="sl-md0000000">' \
  --header 'Content-Type: application/json' \
  --data '{"username":"example-user"}'

このユーザーはログインできますが、example-user に属するグループをロールにマップするまで、ユーザーはディレクトリを認証にのみ使用します。example-user が属するグループにスーパー管理者ロールをマップすると、example-user 管理者からスーパー管理者ロールを削除できます。選択するグループは、ディレクトリ内で「スーパー」である必要があります。そうでない場合、他の管理者が例えば「従業員」グループなどの一般的なグループでログインすると、彼らもスーパー管理者になってしまいます。

重要 :唯一のadminからスーパー管理者ロールを削除し、そのスーパー管理者ロールをadminが属するグループにまだマッピングしていない場合、Kong Managerにログインできません。

代替案:

  • RBACをオフにしてKongを起動し、グループをスーパー管理者ロールにマッピングしてから、そのグループに属するユーザーに対応する管理者を作成します。そうすることで、スーパー管理者の権限が完全にディレクトリグループに関連付けられるのに対し、スーパー管理者のブートストラップでは、認証のためだけにディレクトリを使用します。

  • RBACを適用する前に、一致するディレクトリユーザーのすべての管理者アカウントを作成し、既存のグループが適切なロールにマップされていることを確認します。