Memecahkan masalah server LDAP

Dokumen ini memberikan panduan pemecahan masalah untuk masalah server LDAP di Layanan Identitas GKE.

Masalah konektivitas

Saat mengonfigurasi GKE Identity Service, Anda dapat mengalami masalah konektivitas saat mencoba terhubung ke server LDAP. Masalah konektivitas juga dapat terjadi jika sertifikat yang digunakan untuk mengidentifikasi server LDAP tidak cocok dengan sertifikat yang disebutkan dalam ClientConfig.

Pesan error

Pesan berikut berlaku untuk error yang terjadi saat perintah gcloud anthos auth login dieksekusi.

  • ERROR: LDAP login failed: could not obtain an STS token: Post "https://127.0.0.1:15001/sts/v1beta/token": failed to obtain an endpoint for deployment anthos-identity-service/ais: Unauthorized
  • ERROR: Configuring Anthos authentication failed

Solusi

Anda dapat mengatasi masalah ini dengan salah satu cara berikut:

  • Jika GKE Identity Service tidak dapat terhubung ke server LDAP, lakukan hal berikut:
    • Untuk memverifikasi apakah traffic jaringan dapat mencapai server LDAP (penyedia identitas) dari cluster, gunakan telnet, nc, atau perintah serupa untuk terhubung ke server LDAP. Untuk terhubung ke server LDAP, Anda perlu menjalankan perintah di node atau pod tempat GKE Identity Service berjalan.
    • Jika perintah berhasil, pod GKE Identity Service akan terhubung ke server LDAP.
    • Jika perintah gagal, hal ini menunjukkan bahwa ada masalah dengan konektivitas jaringan. Anda perlu memeriksa setelan jaringan atau menghubungi administrator jaringan untuk mengatasi masalah koneksi.
  • Pastikan sertifikat publik dalam konfigurasi diformat dengan benar dan cocok dengan server LDAP Anda untuk kasus berikut:
    • Anda menggunakan LDAP dengan TLS.
    • Anda melakukan autentikasi ke LDAP dengan akun layanan. Anda menggunakan sertifikat untuk mengidentifikasi akun layanan dengan server LDAP.

Masalah autentikasi

Masalah autentikasi terjadi dalam salah satu kasus berikut:

  • Setelan penyedia LDAP dikonfigurasi secara tidak benar di ClientConfig untuk Layanan Identitas GKE.
  • Kredensial pengguna yang Anda berikan tidak ada di server LDAP.
  • Server LDAP tidak berfungsi.

Pesan error

Pesan berikut berlaku untuk error yang terjadi saat perintah gcloud anthos auth login dieksekusi.

  • ERROR: LDAP login failed: could not obtain an STS token: Post "https://127.0.0.1:15001/sts/v1beta/token": failed to obtain an endpoint for deployment anthos-identity-service/ais: Unauthorized
  • ERROR: Configuring Anthos authentication failed

Solusi

Sebagai administrator cluster, tinjau log Layanan Identitas GKE dan selesaikan masalah autentikasi dengan cara berikut:

  • Can't contact LDAP server: Untuk mengetahui informasi selengkapnya tentang cara menyelesaikan masalah ini, lihat masalah konektivitas.
  • Attempting to bind as the LDAP service account: GKE Identity Service mencoba terhubung ke server LDAP menggunakan kredensial akun layanan yang diberikan di ClientConfig. Tidak adanya pesan log ini menunjukkan adanya masalah konektivitas.
  • Successfully completed BIND as LDAP service account: GKE Identity Service dapat berhasil terhubung ke server LDAP dan menggunakan akun layanannya untuk autentikasi pengguna. Tidak adanya pesan log ini menunjukkan adanya masalah konfigurasi.
  • Successfully found an entry for the user in the database: Entri pengguna ada di server LDAP. Hal ini menunjukkan bahwa kolom baseDN, filter, dan loginAttribute dikonfigurasi dengan benar untuk mengambil pengguna. Pesan ini hanya ditampilkan jika kejelasan logging berada di atas tingkat default. Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan log, lihat Mengaktifkan log debug.
  • Attempting to BIND as the user to verify their credentials: GKE Identity Service sedang mencoba memverifikasi kredensial pengguna.
  • Successfully completed LDAP authentication: Autentikasi pengguna berhasil. Tidak adanya pesan log ini menunjukkan kredensial tidak valid.

Masa berlaku token autentikasi telah berakhir

Meskipun berhasil login, Anda dapat mengalami masalah saat masa berlaku token autentikasi telah habis.

Pesan error

ERROR: You must be logged in to the server (Unauthorized)

Solusi

Anda dapat mengatasi masalah ini dengan login kembali ke server.

Masalah terkait pengikatan peran RBAC ke pengguna atau grup

Masalah ini terjadi saat autentikasi Anda berhasil, tetapi otorisasi gagal karena tidak adanya pengikatan peran RBAC ke pengguna atau grup. Misalnya, masalah ini berlanjut saat Anda mencoba mengeluarkan perintah kubectl get pods.

Pesan error

Error from server (Forbidden): <SERVICE or PODS> is forbidden: <MORE DETAILS>

Solusi

Anda dapat mengatasi masalah ini dengan melakukan hal berikut:

  1. Login ke server LDAP Anda untuk melihat grup pengguna target.
  2. Verifikasi apakah peran dan binding peran Kubernetes Anda ditentukan dengan benar dan cocok dengan nilai di direktori LDAP Anda. Administrator dapat membantu memverifikasi binding peran melalui Peniruan Pengguna Kubernetes.
  3. Perbarui pengikatan peran sehingga grup pengguna target diberi otorisasi untuk melakukan tindakan yang diperlukan.
  4. Pastikan nilai untuk baseDN dan opsional filter serta identifierAttribute untuk grup sudah benar. GKE Identity Service menggunakan konfigurasi grup dari kolom ini untuk membuat kueri semua grup yang menjadi anggota pengguna. Jika baseDN kosong, tidak ada grup yang diberikan ke server Kubernetes API. Tidak ada pesan yang dicatat dalam kasus seperti itu. Jika baseDN tidak kosong, GKE Identity Service akan mengkueri database untuk mendapatkan grup pengguna.
    • Jika kueri berhasil, grup akan diberikan ke server API Kubernetes.
    • Jika kueri gagal, grup tidak akan diberikan ke server Kubernetes API. Dalam hal ini, Anda perlu memperbaiki nilai konfigurasi baseDN dan filter untuk grup.

Pengguna menjadi anggota beberapa grup

Masalah ini terjadi saat pengguna menjadi anggota beberapa grup.

Pesan error

could not obtain an STS token: STS token exceeds allowed size limit. Possibility of too many groups associated with the credentials provided.

Solusi

Sebagai administrator cluster, Anda harus mengonfigurasi kolom filter di ClientConfig untuk mengurangi jumlah grup yang ditampilkan oleh kueri ke server LDAP.

Masalah kompatibilitas versi

Masalah ini terjadi jika ada ketidakcocokan kompatibilitas versi antara GKE Identity Service dan versi Google Cloud CLI yang diinstal.

Pesan error

  • unable to parse STS Token Response
  • could not obtain an STS token: JSON parse error: The request was malformed.
  • could not obtain an STS token: Grant type must confirm that the request is intended for a token exchange.
  • could not obtain an STS token: Requested token type must correspond to an access token.
  • could not obtain an STS token: Subject token type must be a valid token type supported for token exchange.

Solusi

Anda perlu mengupgrade utilitas gcloud dan GKE Identity Service ke versi terbaru yang tersedia.

Kode status kegagalan autentikasi 401

Masalah ini terjadi saat server Kubernetes API tidak dapat mengautentikasi layanan dan menampilkan kode error 401.

Pesan error

  • ERROR: LDAP login failed: STSToken() failed: could not obtain an STS token: Post "https://127.0.0.1:15001/sts/v1beta/token": DialContext() failed: podEndpoint() failed to obtain an endpoint for deployment anthos-identity-service/ais: Unauthorized

  • ERROR: Configuring Anthos authentication failed

Solusi

Anda dapat mengatasi masalah ini dengan salah satu cara berikut:

  • Periksa apakah pod GKE Identity Service dalam status running menggunakan perintah berikut: 
    kubectl get pods -l k8s-app=ais -n anthos-identity-service --kubeconfig USER_CLUSTER_KUBECONFIG
  • Periksa konfigurasi LDAP di ClientConfig menggunakan perintah berikut: 
    kubectl get clientconfig -n kube-public -o jsonpath='{.items[].spec.authentication[].ldap}' --kubeconfig USER_CLUSTER_KUBECONFIG
  • Tinjau log untuk mengetahui informasi mendetail terkait error. Untuk mengetahui informasi selengkapnya tentang logging, lihat Menggunakan logging dan pemantauan untuk komponen sistem.