Fehlerbehebung bei Problemen mit dem LDAP-Server

Dieses Dokument enthält Informationen zur Fehlerbehebung bei Problemen mit LDAP-Servern in GKE Identity Service.

Verbindungsproblem

Wenn Sie GKE Identity Service konfigurieren, können beim Herstellen einer Verbindung zu einem LDAP-Server Verbindungsprobleme auftreten. Das Verbindungsproblem kann auch auftreten, wenn das Zertifikat, mit dem der LDAP-Server identifiziert wird, nicht mit dem in der ClientConfig angegebenen Zertifikat übereinstimmt.

Fehlermeldung

Die folgenden Meldungen beziehen sich auf Fehler, die bei der Ausführung des Befehls gcloud anthos auth login auftreten.

  • ERROR: LDAP login failed: could not obtain an STS token: Post "https://127.0.0.1:15001/sts/v1beta/token": failed to obtain an endpoint for deployment anthos-identity-service/ais: Unauthorized
  • ERROR: Configuring Anthos authentication failed

Lösung

Sie haben folgende Möglichkeiten, die Probleme zu beheben:

  • Wenn GKE Identity Service keine Verbindung zum LDAP-Server herstellen kann, gehen Sie so vor:
    • Um zu prüfen, ob Netzwerktraffic den LDAP-Server (Identitätsanbieter) vom Cluster aus erreichen kann, verwenden Sie telnet, nc oder einen ähnlichen Befehl, um eine Verbindung zum LDAP-Server herzustellen. Zum Herstellen einer Verbindung zum LDAP-Server müssen Sie den Befehl in einem Knoten oder Pod ausführen, in dem GKE Identity Service ausgeführt wird.
    • Wenn der Befehl erfolgreich ausgeführt wird, sollte der GKE Identity Service-Pod eine Verbindung zum LDAP-Server herstellen.
    • Wenn der Befehl fehlschlägt, deutet dies auf ein Problem mit der Netzwerkverbindung hin. Prüfen Sie die Netzwerkeinstellungen oder wenden Sie sich an Ihren Netzwerkadministrator, um das Verbindungsproblem zu beheben.
  • Prüfen Sie, ob das öffentliche Zertifikat in der Konfiguration richtig formatiert ist und für folgende Fälle zu Ihrem LDAP-Server passt:
    • Sie verwenden LDAP mit TLS.
    • Sie authentifizieren sich mit einem Dienstkonto bei LDAP. Sie verwenden ein Zertifikat, um das Dienstkonto beim LDAP-Server zu identifizieren.

Authentifizierungsproblem

Ein Authentifizierungsproblem tritt in einem der folgenden Fälle auf:

  • Die LDAP-Anbietereinstellungen sind in der ClientConfig für GKE Identity Service falsch konfiguriert.
  • Die von Ihnen angegebenen Nutzeranmeldedaten sind auf dem LDAP-Server nicht vorhanden.
  • Der LDAP-Server wird nicht ausgeführt.

Fehlermeldung

Die folgenden Meldungen beziehen sich auf Fehler, die bei der Ausführung des Befehls gcloud anthos auth login auftreten.

  • ERROR: LDAP login failed: could not obtain an STS token: Post "https://127.0.0.1:15001/sts/v1beta/token": failed to obtain an endpoint for deployment anthos-identity-service/ais: Unauthorized
  • ERROR: Configuring Anthos authentication failed

Lösung

Als Clusteradministrator können Sie die GKE Identity Service-Logs prüfen und die Authentifizierungsprobleme auf folgende Weise beheben:

  • Can't contact LDAP server: Weitere Informationen zum Beheben dieses Problems finden Sie unter Verbindungsprobleme.
  • Attempting to bind as the LDAP service account: GKE Identity Service versucht, mit den im ClientConfig angegebenen Dienstkontoanmeldedaten eine Verbindung zum LDAP-Server herzustellen. Ist dieser Logeintrag nicht vorhanden, liegt ein Verbindungsproblem vor.
  • Successfully completed BIND as LDAP service account: GKE Identity Service kann erfolgreich eine Verbindung zum LDAP-Server herstellen und das zugehörige Dienstkonto für die Nutzerauthentifizierung verwenden. Ist dieser Logeintrag nicht vorhanden, liegt ein Konfigurationsproblem vor.
  • Successfully found an entry for the user in the database: Auf dem LDAP-Server ist ein Nutzereintrag vorhanden. Dies bedeutet, dass die Felder baseDN, filter und loginAttribute korrekt für den Abruf von Nutzern konfiguriert sind. Diese Meldung wird nur angezeigt, wenn die Protokollierungsstufe über der Standardstufe liegt. Weitere Informationen zum Aktivieren von Logs finden Sie unter Debug-Log aktivieren.
  • Attempting to BIND as the user to verify their credentials: GKE Identity Service versucht, Nutzeranmeldedaten zu bestätigen.
  • Successfully completed LDAP authentication: Die Nutzerauthentifizierung ist erfolgreich. Das Fehlen dieses Logeintrags weist auf ungültige Anmeldedaten hin.

Authentifizierungstoken ist abgelaufen

Trotz einer erfolgreichen Anmeldung können Probleme auftreten, wenn das Authentifizierungstoken abgelaufen ist.

Fehlermeldung

ERROR: You must be logged in to the server (Unauthorized)

Lösung

Um das Problem zu beheben, melden Sie sich noch einmal beim Server an.

Problem mit RBAC-Rollenbindung für den Nutzer oder die Gruppe

Dieses Problem tritt auf, wenn die Authentifizierung erfolgreich ist, jedoch die Autorisierung jedoch fehlschlägt, weil keine RBAC-Rollenbindung an den Nutzer oder die Gruppe besteht. Dieses Problem tritt beispielsweise auf, wenn Sie den Befehl kubectl get pods ausführen.

Fehlermeldung

Error from server (Forbidden): <SERVICE or PODS> is forbidden: <MORE DETAILS>

Lösung

So beheben Sie das Problem:

  1. Melden Sie sich auf Ihrem LDAP-Server an, um die Gruppen des Zielnutzers aufzurufen.
  2. Prüfen Sie, ob Ihre Kubernetes-Rolle und ‑Rollenbindungen richtig definiert sind und mit den Werten in Ihrem LDAP-Verzeichnis übereinstimmen. Ein Administrator kann die Rollenbindungen mithilfe der Nutzeridentitätsübernahme von Kubernetes überprüfen.
  3. Aktualisieren Sie die Rollenbindung so, dass die Gruppe des Zielnutzers berechtigt ist, die erforderliche Aktion auszuführen.
  4. Prüfen Sie, ob die Werte für baseDN und optional für filter und identifierAttribute für Gruppen korrekt sind. GKE Identity Service verwendet die Gruppenkonfiguration in diesen Feldern, um alle Gruppen abzufragen, zu denen der Nutzer gehört. Wenn baseDN leer ist, werden dem Kubernetes API-Server keine Gruppen bereitgestellt. In diesem Fall werden keine Nachrichten protokolliert. Wenn baseDN nicht leer ist, fragt GKE Identity Service die Datenbank nach den Gruppen des Nutzers ab.
    • Ist die Abfrage erfolgreich, werden die Gruppen dem Kubernetes API-Server bereitgestellt.
    • Schlägt die Abfrage fehl, werden die Gruppen nicht dem Kubernetes API-Server bereitgestellt. In diesem Fall müssen Sie die Konfigurationswerte baseDN und filter für Gruppen korrigieren.

Nutzer gehört mehreren Gruppen an

Dieses Problem tritt auf, wenn ein Nutzer mehreren Gruppen angehört.

Fehlermeldung

could not obtain an STS token: STS token exceeds allowed size limit. Possibility of too many groups associated with the credentials provided.

Lösung

Als Clusteradministrator müssen Sie das Feld filter in der ClientConfig konfigurieren, um die Anzahl der Gruppen zu reduzieren, die von der Anfrage an den LDAP-Server zurückgegeben werden.

Problem mit der Versionskompatibilität

Dieses Problem tritt auf, wenn die Versionskompatibilität zwischen dem GKE Identity Service und der installierten Version des Google Cloud CLI nicht gegeben ist.

Fehlermeldung

  • unable to parse STS Token Response
  • could not obtain an STS token: JSON parse error: The request was malformed.
  • could not obtain an STS token: Grant type must confirm that the request is intended for a token exchange.
  • could not obtain an STS token: Requested token type must correspond to an access token.
  • could not obtain an STS token: Subject token type must be a valid token type supported for token exchange.

Lösung

Sie müssen das gcloud-Tool und GKE Identity Service auf die neueste verfügbare Version aktualisieren.

Statuscode 401 – Authentifizierung fehlgeschlagen

Dieses Problem tritt auf, wenn der Kubernetes API-Server den Dienst nicht authentifizieren kann und den Fehlercode 401 zurückgibt.

Fehlermeldung

  • ERROR: LDAP login failed: STSToken() failed: could not obtain an STS token: Post "https://127.0.0.1:15001/sts/v1beta/token": DialContext() failed: podEndpoint() failed to obtain an endpoint for deployment anthos-identity-service/ais: Unauthorized

  • ERROR: Configuring Anthos authentication failed

Lösung

Sie haben folgende Möglichkeiten, dieses Problem zu beheben:

  • Prüfen Sie mit dem folgenden Befehl, ob sich der GKE Identity Service-Pod im Status running befindet: 
    kubectl get pods -l k8s-app=ais -n anthos-identity-service --kubeconfig USER_CLUSTER_KUBECONFIG
  • Prüfen Sie die LDAP-Konfiguration in der ClientConfig mit dem folgenden Befehl: 
    kubectl get clientconfig -n kube-public -o jsonpath='{.items[].spec.authentication[].ldap}' --kubeconfig USER_CLUSTER_KUBECONFIG
  • In den Logs finden Sie detaillierte Informationen zum Fehler. Weitere Informationen zum Logging finden Sie unter Logging und Monitoring für Systemkomponenten verwenden.