Risoluzione dei problemi del server LDAP
Questo documento fornisce indicazioni per la risoluzione dei problemi relativi al server LDAP in GKE Identity Service.
Problema di connettività
Quando configuri GKE Identity Service, puoi riscontrare problemi di connettività durante il tentativo di connetterti a un server LDAP. Il problema di connettività può verificarsi anche quando il certificato utilizzato per identificare il server LDAP non corrisponde al certificato indicato in ClientConfig.
Messaggio di errore
I messaggi seguenti sono relativi agli errori che si verificano quando viene eseguito il comando gcloud anthos auth login
.
ERROR: LDAP login failed: could not obtain an STS token: Post "https://127.0.0.1:15001/sts/v1beta/token": failed to obtain an endpoint for deployment anthos-identity-service/ais: Unauthorized
ERROR: Configuring Anthos authentication failed
Soluzione
Puoi risolvere i problemi in uno dei seguenti modi:
- Se GKE Identity Service non riesce a connettersi al server LDAP:
- Per verificare se il traffico di rete può raggiungere il server LDAP (provider di identità) dal cluster, utilizza
telnet
,nc
o un comando simile per connetterti al server LDAP. Per connetterti al server LDAP, devi eseguire il comando nel nodo o nel pod in cui è in esecuzione GKE Identity Service. - Se il comando ha esito positivo, il pod GKE Identity Service dovrebbe connettersi al server LDAP.
- Se il comando non riesce, significa che c'è un problema di connettività di rete. Devi controllare le impostazioni di rete o contattare l'amministratore di rete per risolvere il problema di connessione.
- Per verificare se il traffico di rete può raggiungere il server LDAP (provider di identità) dal cluster, utilizza
- Verifica che il certificato pubblico nella configurazione sia formattato correttamente e corrisponda al server LDAP nei seguenti casi:
- Utilizzi LDAP con TLS.
- L'autenticazione su LDAP viene eseguita con un account di servizio. Puoi utilizzare un certificato per identificare l'account di servizio con il server LDAP.
Problema di autenticazione
Un problema di autenticazione si verifica in uno dei seguenti casi:
- Le impostazioni del provider LDAP non sono configurate correttamente in ClientConfig per GKE Identity Service.
- Le credenziali utente fornite non esistono sul server LDAP.
- Il server LDAP non è attivo.
Messaggio di errore
I messaggi seguenti sono relativi agli errori che si verificano quando viene eseguito il comando gcloud anthos auth login
.
ERROR: LDAP login failed: could not obtain an STS token: Post "https://127.0.0.1:15001/sts/v1beta/token": failed to obtain an endpoint for deployment anthos-identity-service/ais: Unauthorized
ERROR: Configuring Anthos authentication failed
Soluzione
In qualità di amministratore del cluster, esamina i log di GKE Identity Service e risolvi i problemi di autenticazione nei seguenti modi:
Can't contact LDAP server
: per ulteriori informazioni su come risolvere questo problema, consulta l'articolo sui problemi di connettività.Attempting to bind as the LDAP service account
: GKE Identity Service sta tentando di connettersi al server LDAP utilizzando le credenziali dell'account di servizio fornite in ClientConfig. L'assenza di questo messaggio di log indica un problema di connettività.Successfully completed BIND as LDAP service account
: GKE Identity Service è in grado di connettersi correttamente al server LDAP e di utilizzare il proprio account di servizio per l'autenticazione utente. L'assenza di questo messaggio di log indica un problema di configurazione.Successfully found an entry for the user in the database
: esiste una voce utente sul server LDAP. Ciò significa che i campibaseDN
,filter
eloginAttribute
sono configurati correttamente per recuperare gli utenti. Questo messaggio viene visualizzato solo quando il livello di dettaglio del logging è superiore al livello predefinito. Per ulteriori informazioni sull'attivazione dei log, consulta Attivare il log di debug.Attempting to BIND as the user to verify their credentials
: GKE Identity Service sta tentando di verificare le credenziali utente.Successfully completed LDAP authentication
: l'autenticazione utente è riuscita. L'assenza di questo messaggio di log indica credenziali non valide.
Il token di autenticazione è scaduto
Nonostante l'accesso venga eseguito correttamente, puoi riscontrare problemi relativi alla scadenza del token di autenticazione.
Messaggio di errore
ERROR: You must be logged in to the server (Unauthorized)
Soluzione
Puoi risolvere il problema accedendo nuovamente al server.
Problema con l'associazione dei ruoli RBAC all'utente o al gruppo
Questo problema si verifica quando l'autenticazione ha esito positivo, ma l'autorizzazione non riesce a causa dell'assenza di ruoli RBAC associati all'utente o al gruppo. Ad esempio, il problema persiste quando provi a inviare il comando kubectl get pods
.
Messaggio di errore
Error from server (Forbidden): <SERVICE or PODS> is forbidden: <MORE DETAILS>
Soluzione
Puoi risolvere il problema procedendo nel seguente modo:
- Accedi al server LDAP per visualizzare i gruppi dell'utente di destinazione.
- Verifica che le associazioni di ruoli e ruoli Kubernetes siano definite correttamente e corrispondano ai valori della directory LDAP. Un amministratore può contribuire a verificare le associazioni dei ruoli tramite la rappresentazione degli utenti di Kubernetes.
- Aggiorna l'associazione del ruolo in modo che il gruppo dell'utente di destinazione sia autorizzato a eseguire l'azione richiesta.
- Verifica che i valori di
baseDN
e, facoltativamente, difilter
eidentifierAttribute
per i gruppi siano corretti. GKE Identity Service utilizza la configurazione del gruppo da questi campi per eseguire query su tutti i gruppi a cui appartiene l'utente. Se il campobaseDN
è vuoto, non vengono forniti gruppi al server API Kubernetes. In questo caso, non ci sono messaggi registrati. SebaseDN
non è vuoto, GKE Identity Service esegue una query nel database per individuare i gruppi dell'utente.- Se la query ha esito positivo, i gruppi vengono forniti al server API Kubernetes.
- Se la query non riesce, i gruppi non vengono forniti al server API Kubernetes. In questo caso, devi correggere i valori di configurazione
baseDN
efilter
per i gruppi.
L'utente appartiene a più gruppi
Questo problema si verifica quando un utente appartiene a più gruppi.
Messaggio di errore
could not obtain an STS token: STS token exceeds allowed size limit. Possibility of too many groups associated with the credentials provided.
Soluzione
In qualità di amministratore di cluster, devi configurare il campo filter
in ClientConfig per ridurre il numero di gruppi restituiti dalla query al server LDAP.
Problema di compatibilità della versione
Questo problema si verifica quando si verifica una mancata corrispondenza della versione tra il servizio GKE Identity e la versione installata di Google Cloud CLI.
Messaggio di errore
unable to parse STS Token Response
could not obtain an STS token: JSON parse error: The request was malformed.
could not obtain an STS token: Grant type must confirm that the request is intended for a token exchange.
could not obtain an STS token: Requested token type must correspond to an access token.
could not obtain an STS token: Subject token type must be a valid token type supported for token exchange.
Soluzione
Devi eseguire l'upgrade dell'utilità gcloud e di GKE Identity Service alla versione più recente disponibile.
Codice di stato dell'autenticazione 401 non riuscita
Questo problema si verifica quando il server API Kubernetes non è in grado di autenticare il servizio e restituisce un codice di errore 401.
Messaggio di errore
ERROR: LDAP login failed: STSToken() failed: could not obtain an STS token: Post "https://127.0.0.1:15001/sts/v1beta/token": DialContext() failed: podEndpoint() failed to obtain an endpoint for deployment anthos-identity-service/ais: Unauthorized
ERROR: Configuring Anthos authentication failed
Soluzione
Puoi risolvere il problema in uno dei seguenti modi:
- Controlla se il pod del servizio GKE Identity è in stato
running
utilizzando il seguente comando:kubectl get pods -l k8s-app=ais -n anthos-identity-service --kubeconfig USER_CLUSTER_KUBECONFIG
- Controlla la configurazione LDAP in ClientConfig utilizzando il seguente comando:
kubectl get clientconfig -n kube-public -o jsonpath='{.items[].spec.authentication[].ldap}' --kubeconfig USER_CLUSTER_KUBECONFIG
- Esamina i log per informazioni dettagliate sull'errore. Per saperne di più sul logging, consulta Utilizzo di logging e monitoraggio per i componenti di sistema.