Ingressando o Portainer no domínio Active Directory
Neste artigo ensino como autenticar seu usuário do Active Directory (LDAP) no Portainer, se não sabe configurar o portainer acesse, então mãos a obra. 🙂
Primeiro suba o portainer no seu ambiente de Docker, seja ele usando Container Docker ou Docker Swarm, para aprender como faz, clique aqui! 🙂
Logue no seu Portainer.
Digite usuário e senha.
Vá até o menu.
Na sua esquerda em menu, clique na opção Settings > Authentication, em authentication method clique na opção: LDAP - LDAP authentication.
Configurando LDAP.
Ao usar a autenticação LDAP, o Portainer delegará a autenticação do usuário a um servidor LDAP e fará fallback para autenticação interna se a autenticação LDAP falhar.
Agora irei explicar cada campo de opção de configuração do LDAP.
LDAP Server: linuxnaweb.local:389 ou 192.168.68.2:389 (ip do seu server ldap)
Reader DN: CN=portainer,OU=Users,DC=linuxnaweb,DC=local ou portainer@linuxnaweb.local - Essa é a conta que será utilizada para ler a base de usuários, você pode a “path” do atributo ou usuario@dominio.
Password: Coloque a senha do usuário.
Para testar a conexão clique em Test connectivity, se a conexão deu certo irá aparecer a mensagem abaixo:
LDAP security
Se quiser que a conexão entre o Portainer e o Active Directory seja mais segura habilite as opções Use StartTLS ou Use TLS, como não vamos configurar não selecione nenhuma dessas opções.
Use StartTLS: não
Use TLS: não
Skip verification of server certificate: não.
Configurando o provisionamento automático de usuário.
Para permitir que qualquer usuário LDAP autenticado faça o login no Portainer, ative a opção Automatic user provisioning, o Portainer criará automaticamente o(s) usuário(s) com a função de usuário padrão e os atribuirá à(s) equipe(s) correspondente(s) ao(s) nome(s) do grupo LDAP. Se essa opção estiver desativada, precisará criar os usuários manualmente antes que eles possam se autenticar no LDAP usando apenas a autenticação de senha.
Habilite a opção: Automatic user provisioning
User search configurations:
Base DN: DC=linuxnaweb,DC=local - Aqui basicamente você irá configurar onde ele vai procurar os usuários que irão logar, podendo especifícar uma OU onde estão os usuários, mas opitei por deixar ele consultar na raiz do domínio.
Username attribute: sAMAccountName ou uid - Define o attributo de usuário se estiver utilizando Active Directory (que é o nosso caso) coloque o atributo: sAMAccountName, ou se for OpenLdap utilize uid.
Group Filter: objectClass=account - aqui você pode filtrar o usuário através de um objeto, deixei em branco.
Group search configurations:
Group Base DN: CN=portainer_ops,OU=users,DC=linuxnaweb,DC=local - Aqui ele vai consultar se o usuário que vai autenticar está dentro desse grupo, podendo especifícar especifique a OU onde está o usuário ou deixe consultar na raiz do domínio.**Group Membership Attribute: **member - Aqui estou declarando que o atributo desse grupo é member, então irá autorizar os membros desse grupo.
Group Filter: objectClass=account - aqui você pode filtrar o usuário através de um objeto específico do grupo, deixei em branco.
A comunicação entre o Portainer e Active Directory está configurada, agora iremos configurar a autenticação do usuário.
Ao efetuar o login pela primeira vez, o usuário precisa estar no grupo que você configurou em Group search configurations, lembrando grupo do AD.
No menu a esquerda clique em Users > Teams.
Vá até + Add a new team;
E em **Name: **adicione o grupo que vc criou para os usuários acessarem, no meu cenário criei os grupos portainer_devs e portainer_ops;
Por ultimo clique em + Create team;
Logo em seguida vá até o menu **Endpoints **e clique em Manage access;
Em manage access vá até Create access e em Select user(s) and/or team(s) > Selecione o Grupo que você criou e clique em + Create access.
Pronto, agora deslogue do Portainer e autentique com o seu usuário do Active Directory, se ele estiver em um dos grupos selecionado ele irá logar e porém sem permissão de administrador.
Para promover o usuário para administrador basta clicar no usuário e habilitar a opção administrator;
Pronto, a autenticação está funcionando! 😀
Se precisar definir níveis de acesso, terá que investir os US$9.95/ano. =/
Espero ter ajudado, se gostou compartilhe!
Até a próxima!!