Saltar para o conteúdo principal
Versão 3.0.0

Segurança — OpenMetadata

Autenticação via LDAP

O pacote tdp-openmetadata suporta autenticação via LDAP, permitindo o uso de diretórios corporativos para login no OpenMetadata.

Para ativar este modo, use o overlay values-tdp-ldap.yaml e crie um Secret Kubernetes com a palavra-passe de bind.

A configuração permite personalizar DNs de utilizadores e grupos, atributos de e-mail e login, mapeamento de grupos para roles e o comportamento do truststore.

Depois de ativado, o login passa a ser feito com as credenciais LDAP do utilizador.

Como habilitar

  1. Ative ldap.enabled: true no values.yaml.
  2. Inclua o overlay values-tdp-ldap.yaml com as definições de LDAP.

Exemplo de instalação/atualização com overlay:

Terminal input
helm upgrade --install <release> \
  oci://registry.tecnisys.com.br/tdp/charts/tdp-openmetadata \
  -n <namespace> --create-namespace \
  -f values.yaml \
  -f values-tdp-ldap.yaml

Pré-requisitos

  • Servidor LDAP acessível a partir do cluster Kubernetes
  • Bind DN com permissões para procurar utilizadores e grupos
  • Secret Kubernetes com a palavra-passe de bind

Secret Kubernetes com a palavra-passe de bind

Terminal input
kubectl create secret generic tdp-openmetadata-ldap-secret \
  --from-literal=bind-password=<SENHA> \
  -n <namespace>

Configuração principal (values-tdp-ldap.yaml)

Defina no overlay os parâmetros principais do LDAP: host, porta, DN administrativo, base DN de utilizadores e grupos, bem como os atributos e o mapeamento de roles.

values-tdp-ldap.yaml
ldap:
  enabled: true

openmetadata:
  openmetadata:
    config:
      authentication:
        provider: ldap
        ldapConfiguration:
          host: "ldap.example.local"
          port: 389
          dnAdminPrincipal: "cn=admin,dc=example,dc=local"
          userBaseDN: "ou=users,dc=example,dc=local"
          groupBaseDN: "ou=groups,dc=example,dc=local"
          mailAttributeName: mail
          usernameAttributeName: uid
          groupAttributeName: memberOf
          authRolesMapping: '{"cn=tdp-admins,ou=groups,dc=example,dc=local": ["Admin"]}'
          sslEnabled: false
          truststoreConfigType: TrustAll

O que esta configuração cobre

  • host, porta, DN administrativo e bases de utilizadores/grupos
  • atributos personalizáveis para e-mail, utilizador e grupos
  • mapeamento de grupos LDAP para roles do OpenMetadata via authRolesMapping
  • truststore por omissão TrustAll, que não exige LDAPS, mas pode ser ajustado ao modelo do seu ambiente

Acesso com LDAP

Terminal input
kubectl -n <namespace> port-forward service/<release> 8585:8585

Depois, aceda a http://localhost:8585 e faça login com as credenciais LDAP do utilizador.

Para a lista completa de parâmetros, consulte helm show values na versão do chart instalada e a documentação oficial do OpenMetadata.