Versão 3.0.0

Segurança — Ranger

O chart tdp-ranger suporta autenticação via LDAP / Active Directory, permitindo o uso de diretórios corporativos para o login no Ranger Admin.

A ativação é feita por meio do overlay values-tdp-ldap.yaml, mantendo o values.yaml principal com LDAP desabilitado por padrão.

Pré-requisitos

Antes de habilitar o LDAP, crie os Secrets Kubernetes necessários no mesmo namespace do Ranger.

Secret obrigatório — senha de bind

Terminal input
kubectl create secret generic tdp-ranger-ldap-secret \
  --from-literal=bind-password='<SENHA_BIND>' \
  -n <namespace>

Secret opcional — truststore LDAPS

Necessário somente quando tls.enabled=true (conexão LDAPS com certificado personalizado):

Terminal input
kubectl create secret generic tdp-ranger-ldap-certs \
  --from-file=truststore.jks=<caminho-para-o-truststore> \
  -n <namespace>

Como habilitar

1. Mantenha o LDAP desabilitado no `values.yaml` principal

tdp-ranger:
  ldap:
    enabled: false

2. Aplique o overlay durante o install/upgrade

Terminal input
helm upgrade --install <release> \
  oci://registry.tecnisys.com.br/tdp/charts/tdp-ranger \
  -f values.yaml \
  -f values-tdp-ldap.yaml \
  -n <namespace>

O arquivo values-tdp-ldap.yaml expõe todos os parâmetros necessários: URL de conexão, bind DN, filtros de busca, mapeamento de roles e TLS. Substitua os valores de exemplo pelos DNs, atributos e certificados do seu diretório.

Parâmetros principais do overlay LDAP

Parâmetro	Descrição	Exemplo
`connection.url`	URL do servidor LDAP	`ldap://<host>:389` ou `ldaps://<host>:636`
`bind.dn`	DN do usuário de bind	`uid=ranger-bind,cn=users,cn=accounts,dc=exemplo,dc=com`
`baseDn`	DN base da árvore	`dc=exemplo,dc=com`
`user.searchBase`	Base de busca de usuários	`cn=users,cn=accounts,dc=exemplo,dc=com`
`group.searchBase`	Base de busca de grupos	`cn=groups,cn=accounts,dc=exemplo,dc=com`
`tls.enabled`	Habilitar LDAPS	`false`

UserSync — sincronização de usuários e grupos

O overlay habilita um Deployment dedicado de UserSync que sincroniza os usuários e grupos do LDAP com o Ranger Admin.

Inclui um initContainer que aguarda o Ranger Admin ficar disponível antes de iniciar a sincronização.
Recursos ajustáveis via tdp-ranger.usersync.resources.
Parâmetros de conexão LDAP ajustáveis via tdp-ranger.usersync.ldap.

Atribuição automática de roles

Use tdp-ranger.usersync.roleAssignment.rules para mapear usuários ou grupos LDAP a roles do Ranger automaticamente durante a sincronização:

tdp-ranger:
  usersync:
    roleAssignment:
      enabled: true
      rules:
        - role: "ROLE_SYS_ADMIN"
          users: ["admin"]
          groups:
            - "cn=ranger_admins,ou=groups,dc=<exemplo>,dc=com"
        - role: "ROLE_ADMIN_AUDITOR"
          users: []
          groups:
            - "cn=ranger_auditors,ou=groups,dc=<exemplo>,dc=com"

Roles disponíveis: ROLE_SYS_ADMIN, ROLE_KEY_ADMIN, ROLE_ADMIN_AUDITOR, ROLE_KEY_ADMIN_AUDITOR, ROLE_USER.

Pré-requisitos​

Secret obrigatório — senha de bind​

Secret opcional — truststore LDAPS​

Como habilitar​

1. Mantenha o LDAP desabilitado no values.yaml principal​

2. Aplique o overlay durante o install/upgrade​

Parâmetros principais do overlay LDAP​

UserSync — sincronização de usuários e grupos​

Atribuição automática de roles​