Проблема форматирования файла Rundeck Yaml и проблема входа в Rundeck с пользователем AD

Question

Я пытаюсь разрешить пользователям домена входить в мой экземпляр rundeck, следуя указаниям https://vinusumi.wordpress.com/2017/12/28/setup-active-directory-authentication-for-rundeck/. Однако я сталкиваюсь с двумя проблемами.

1. По какой-то причине я не могу войти в rundeck с пользователем, добавленным в группу "rundeck_admins".Я подтвердил, что учетные данные верны, и я считаю, что информация, которую я добавил в «jaas-activedirectory.conf», является синтаксически правильной и точной на основе моих настроек AD.Согласно «/var/log/rundeck/service.log» говорится следующее:

   2018-12-13 20:13:29.689 DEBUG --- [tp1465511423-25] ailsUsernamePasswordAuthenticationFilter : Updated SecurityContextHolder to contain null Authentication
   2018-12-13 20:13:29.689 DEBUG --- [tp1465511423-25] ailsUsernamePasswordAuthenticationFilter : Delegating to 
   authentication failure handler grails.plugin.springsecurity.web.authentication.AjaxAwareAuthenticationFailureHandler@51aaa9d4
   

2. У меня проблемы с определением правильного синтаксиса в отношении используемого файла yaml.для моей группы "rundeck_users"

   description: "Ops Engineers can launch jobs but not edit them"
   context:
     project: *
   for:
     resource:
   - equals:
   kind: 'node'
     allow: [read,update,refresh]
   - equals:
   kind: 'job'
    allow: [read,run,kill]
   - equals:
   kind: 'adhoc'
   allow: [read,run,kill]
   - equals:
   kind: 'event'
   allow: [read,create]
   job:
    - match:
   name: '.*'
    allow: [read,run,kill]
    adhoc:
   - match:
   name: '.*'
    allow: [read,run,kill]
   node:
   - match:
   nodename: '.*'
   allow: [read,run,refresh]
   by:
     group:
    - rundeck_users
   
    ---
    context:
   application: rundeck
   description: "Ops Engineers can launch jobs but not edit them"
    for:
    project:
    - match:
    name: '*'
      allow: [read]
      system:
     - match:
     name: '.*'
     allow: [read]
     by:
     group:
     - rundeck_users
   

Answer 1

1. Аутентификация AD - эти шаги актуальны для версии rundeck 3 и выше на centos7.Для более ранней версии rundeck см. Процедуру, которую я разместил здесь: https://groups.google.com/forum/#!msg/rundeck-discuss/P2qQHNpDct4/aP0ot7V2BAAJ

Создайте файл конфигурации AD со следующим содержимым:

AD {
com.dtolabs.rundeck.jetty.jaas.JettyCachingLdapLoginModule required
debug="true"
contextFactory="com.sun.jndi.ldap.LdapCtxFactory"
providerUrl="ldap://<ip>:389 ldap://<ip>:389"
bindDn="CN=authUser,CN=Users,DC=your,DC=domain,DC=com"
bindPassword="<authUserPassword>"
authenticationMethod="simple"
forceBindingLogin="true"
userBaseDn="CN=Users,DC=your,DC=domain,DC=com"
userRdnAttribute="sAMAccountName"
userIdAttribute="sAMAccountName"
userPasswordAttribute="unicodePwd"
userObjectClass="person"
roleBaseDn="CN=Users,DC=your,DC=domain,DC=com"
roleNameAttribute="sAMAccountName"
roleMemberAttribute="member"
roleObjectClass="group"
cacheDurationMillis="300000"
reportStatistics="true";
};

Создайте файл / etc / sysconfig / rundeckd с помощьюследующие строки.

Обратите внимание, что значение LOGIN_MODULE должно совпадать с тем, которое вы установили в своем файле.

export JAAS_CONF=/path/to/file/jaas-AD.conf
export LOGIN_MODULE=AD

Я рекомендую сначала создать полный контроль yaml, чтобы вы могли проверить аутентификацию AD, а затем при необходимости удалить разрешения.Группы заметок в yaml должны быть такими же, как в вашей AD.

Answer 2

1.- Убедитесь, что аутентификация читается.Когда запускается rundeck <..> 2018-12-14 01: 52: 57.186 INFO --- [main] rundeckapp.BootStrap: RSS-каналы отключены 2018-12-14 01: 52: 57.187 INFO --- [main] rundeckapp.BootStrap: Использование аутентификации jaas <<<<<<<<< <..>

2.- Проверьте правильность содержимого yaml, например, используя http://www.yamllint.com/

3.- Используйтесуществующую / рабочую aclpolicy, используйте вашу группу для тестирования и проверьте, не вызывает ли проблема политика acl.

Надеюсь, это поможет