Versão Next 🚧

Segurança — Airflow

O chart tdp-airflow suporta autenticação LDAP opcional para a UI e o API Server do Airflow (Flask-AppBuilder). Por padrão, tdp-airflow.ldap.enabled é false.

Pré-requisitos

Servidor LDAP acessível a partir do cluster Kubernetes
Credenciais de bind (usuário e senha), normalmente fornecidas via Secret

Secret com senha de bind

Crie o Secret antes de instalar ou atualizar o release, ou declare-o em manifesto com placeholders:

Terminal input

kubectl -n <namespace> create secret generic <ldap-bind-secret> \
  --from-literal=password='<ldap-bind-password>'

Alternativa equivalente (manifesto):

apiVersion: v1
kind: Secret
metadata:
  name: <ldap-bind-secret>
  namespace: <namespace>
type: Opaque
stringData:
  password: "<ldap-bind-password>"

Importante

Se o Secret referenciado em tdp-airflow.extraEnv não existir, os pods podem falhar na inicialização.

Configurar LDAP

Em um arquivo de values (por exemplo values-ldap.yaml), use o prefixo tdp-airflow.ldap.* e injete a senha com tdp-airflow.extraEnv:

tdp-airflow:
  ldap:
    enabled: true
    apiServerConfig: |
      import os
      from flask_appbuilder.security.manager import AUTH_LDAP

      AUTH_TYPE = AUTH_LDAP
      AUTH_LDAP_SERVER = "ldap://<ldap-host>:389"
      AUTH_LDAP_USE_TLS = False
      AUTH_LDAP_BIND_USER = "uid=<bind-user>,cn=users,cn=accounts,dc=example,dc=com"
      AUTH_LDAP_BIND_PASSWORD = os.environ.get("LDAP_BIND_PASSWORD", "")
      AUTH_LDAP_SEARCH = "cn=users,cn=accounts,dc=example,dc=com"
      AUTH_LDAP_UID_FIELD = "uid"
      AUTH_LDAP_EMAIL_FIELD = "mail"
      AUTH_LDAP_FIRSTNAME_FIELD = "givenName"
      AUTH_LDAP_LASTNAME_FIELD = "sn"
      AUTH_USER_REGISTRATION = True
      AUTH_USER_REGISTRATION_ROLE = "User"

  extraEnv: |
    - name: LDAP_BIND_PASSWORD
      valueFrom:
        secretKeyRef:
          name: <ldap-bind-secret>
          key: password

tip

A senha de bind não deve ficar em texto plano no values.yaml versionado; use valueFrom.secretKeyRef em tdp-airflow.extraEnv.

Instalar ou atualizar com LDAP

Terminal input
helm upgrade --install <release> oci://registry.tecnisys.com.br/tdp/charts/tdp-airflow \
  -n <namespace> --create-namespace \
  -f values.yaml \
  -f values-ldap.yaml

Parâmetros LDAP

Parâmetro	Descrição
`tdp-airflow.ldap.enabled`	Habilita autenticação LDAP
`tdp-airflow.ldap.apiServerConfig`	Trecho Python Flask-AppBuilder (AUTH_LDAP, etc.)
`tdp-airflow.extraEnv`	Variáveis extras; use para `LDAP_BIND_PASSWORD` via Secret

Resolução de Problemas

Problema	Causa provável	Solução
Pod não inicia	Secret do bind ausente ou nome incorreto	Criar/corrigir Secret e alinhar `secretKeyRef.name` em `tdp-airflow.extraEnv`
Credenciais inválidas	Bind DN ou senha incorretos	Validar bind com ferramentas LDAP do ambiente
Usuário sem permissão	Role padrão de registro	Ajustar `AUTH_USER_REGISTRATION_ROLE` em `tdp-airflow.ldap.apiServerConfig`

Pré-requisitos​

Secret com senha de bind​

Configurar LDAP​

Instalar ou atualizar com LDAP​

Parâmetros LDAP​

Resolução de Problemas​