Versão 3.0.0

Segurança — Ranger

O chart tdp-ranger suporta autenticação via LDAP / Active Directory, permitindo a utilização de diretórios corporativos para o acesso ao Ranger Admin.

A ativação é feita por meio do overlay values-tdp-ldap.yaml, mantendo o values.yaml principal com LDAP desativado por omissão.

Pré-requisitos

Antes de habilitar o LDAP, crie os Secrets Kubernetes necessários no mesmo namespace do Ranger.

Secret obrigatório — senha de bind

Terminal input
kubectl create secret generic tdp-ranger-ldap-secret \
  --from-literal=bind-password='<SENHA_BIND>' \
  -n <namespace>

Secret opcional — truststore LDAPS

Necessário apenas quando tls.enabled=true (ligação LDAPS com certificado personalizado):

Terminal input
kubectl create secret generic tdp-ranger-ldap-certs \
  --from-file=truststore.jks=<caminho-para-o-truststore> \
  -n <namespace>

Como habilitar

1. Mantenha o LDAP desativado no `values.yaml` principal

tdp-ranger:
  ldap:
    enabled: false

2. Aplique o overlay durante o install/upgrade

Terminal input
helm upgrade --install <release> \
  oci://registry.tecnisys.com.br/tdp/charts/tdp-ranger \
  -f values.yaml \
  -f values-tdp-ldap.yaml \
  -n <namespace>

O ficheiro values-tdp-ldap.yaml expõe todos os parâmetros necessários: URL de ligação, bind DN, filtros de pesquisa, mapeamento de roles e TLS. Substitua os valores de exemplo pelos DNs, atributos e certificados do seu diretório.

Parâmetros principais do overlay LDAP

Parâmetro	Descrição	Exemplo
`connection.url`	URL do servidor LDAP	`ldap://<host>:389` ou `ldaps://<host>:636`
`bind.dn`	DN do utilizador de bind	`uid=ranger-bind,cn=users,cn=accounts,dc=exemplo,dc=com`
`baseDn`	DN base da árvore	`dc=exemplo,dc=com`
`user.searchBase`	Base de pesquisa de utilizadores	`cn=users,cn=accounts,dc=exemplo,dc=com`
`group.searchBase`	Base de pesquisa de grupos	`cn=groups,cn=accounts,dc=exemplo,dc=com`
`tls.enabled`	Habilitar LDAPS	`false`

UserSync — sincronização de utilizadores e grupos

O overlay habilita um Deployment dedicado de UserSync que sincroniza os utilizadores e grupos do LDAP com o Ranger Admin.

Inclui um initContainer que aguarda o Ranger Admin ficar disponível antes de iniciar a sincronização.
Recursos configuráveis via tdp-ranger.usersync.resources.
Parâmetros de ligação LDAP configuráveis via tdp-ranger.usersync.ldap.

Atribuição automática de roles

Utilize tdp-ranger.usersync.roleAssignment.rules para mapear utilizadores ou grupos LDAP a roles do Ranger automaticamente durante a sincronização:

tdp-ranger:
  usersync:
    roleAssignment:
      enabled: true
      rules:
        - role: "ROLE_SYS_ADMIN"
          users: ["admin"]
          groups:
            - "cn=ranger_admins,ou=groups,dc=<exemplo>,dc=com"
        - role: "ROLE_ADMIN_AUDITOR"
          users: []
          groups:
            - "cn=ranger_auditors,ou=groups,dc=<exemplo>,dc=com"

Roles disponíveis: ROLE_SYS_ADMIN, ROLE_KEY_ADMIN, ROLE_ADMIN_AUDITOR, ROLE_KEY_ADMIN_AUDITOR, ROLE_USER.

Pré-requisitos​

Secret obrigatório — senha de bind​

Secret opcional — truststore LDAPS​

Como habilitar​

1. Mantenha o LDAP desativado no values.yaml principal​

2. Aplique o overlay durante o install/upgrade​

Parâmetros principais do overlay LDAP​

UserSync — sincronização de utilizadores e grupos​

Atribuição automática de roles​