Rundeck Yaml文件格式問題以及使用AD用戶登錄Rundeck的問題

Question

我正在嘗試通過遵循指南https://vinusumi.wordpress.com/2017/12/28/setup-active-directory-authentication-for-rundeck/來允許域用戶登錄我的rundeck實例。 但是，我遇到了兩個問題。

1. 由於某些原因，我無法使用添加到“ rundeck_admins”組的用戶登錄rundeck。 我確認憑據是正確的，並且我相信根據我的AD設置，添加到“ jaas-activedirectory.conf”中的信息在語法上是正確且准確的。 根據“ /var/log/rundeck/service.log”，它表示以下內容：

    2018-12-13 20:13:29.689 DEBUG --- [tp1465511423-25] ailsUsernamePasswordAuthenticationFilter : Updated SecurityContextHolder to contain null Authentication 2018-12-13 20:13:29.689 DEBUG --- [tp1465511423-25] ailsUsernamePasswordAuthenticationFilter : Delegating to authentication failure handler grails.plugin.springsecurity.web.authentication.AjaxAwareAuthenticationFailureHandler@51aaa9d4 

2. 我在弄清楚用於“ rundeck_users”組的yaml文件的正確語法時遇到麻煩

    description: "Ops Engineers can launch jobs but not edit them" context: project: * for: resource: - equals: kind: 'node' allow: [read,update,refresh] - equals: kind: 'job' allow: [read,run,kill] - equals: kind: 'adhoc' allow: [read,run,kill] - equals: kind: 'event' allow: [read,create] job: - match: name: '.*' allow: [read,run,kill] adhoc: - match: name: '.*' allow: [read,run,kill] node: - match: nodename: '.*' allow: [read,run,refresh] by: group: - rundeck_users --- context: application: rundeck description: "Ops Engineers can launch jobs but not edit them" for: project: - match: name: '*' allow: [read] system: - match: name: '.*' allow: [read] by: group: - rundeck_users 

Answer 1

1.-確保已讀取身份驗證。 當rundeck啟動時<..> 2018-12-14 01：52：57.186 INFO --- [main] rundeckapp.BootStrap：禁用RSS源2018-12-14 01：52：57.187 INFO --- [main] rundeckapp .BootStrap：使用jaas認證<<<<<<<<< <..>

2.-例如，使用http://www.yamllint.com/驗證yaml內容正確

3.-使用現有的/有效的aclpolicy，並使用您的組進行測試，並檢查acl策略是否引起了問題。

希望能幫助到你

Answer 2

1. AD身份驗證-這些步驟與rundeck版本3及以上centos7有關。 對於較早的rundeck版本，請參閱我在此處發布的過程： https ://groups.google.com/forum/#!msg/rundeck-discuss/P2qQHNpDct4/aP0ot7V2BAAJ

創建具有以下內容的AD配置文件：

AD {
com.dtolabs.rundeck.jetty.jaas.JettyCachingLdapLoginModule required
debug="true"
contextFactory="com.sun.jndi.ldap.LdapCtxFactory"
providerUrl="ldap://<ip>:389 ldap://<ip>:389"
bindDn="CN=authUser,CN=Users,DC=your,DC=domain,DC=com"
bindPassword="<authUserPassword>"
authenticationMethod="simple"
forceBindingLogin="true"
userBaseDn="CN=Users,DC=your,DC=domain,DC=com"
userRdnAttribute="sAMAccountName"
userIdAttribute="sAMAccountName"
userPasswordAttribute="unicodePwd"
userObjectClass="person"
roleBaseDn="CN=Users,DC=your,DC=domain,DC=com"
roleNameAttribute="sAMAccountName"
roleMemberAttribute="member"
roleObjectClass="group"
cacheDurationMillis="300000"
reportStatistics="true";
};

用以下幾行創建文件/ etc / sysconfig / rundeckd。

請注意，LOGIN_MODULE值應與文件中設置的值相同。

export JAAS_CONF=/path/to/file/jaas-AD.conf
export LOGIN_MODULE=AD

2. 我建議首先創建完全控制的Yaml，以便您可以測試AD身份驗證，然后根據需要刪除權限。 yaml中的注釋組應與廣告中的注釋組相同。