Integrasi Active Directory & LDAP
Alih-alih membuat nama pengguna dan kata sandi terpisah untuk setiap karyawan di dalam Cockpit, Anda dapat menghubungkan Cockpit ke katalog pengguna perusahaan Anda yang sudah ada menggunakan LDAP atau Microsoft Active Directory.
Apa itu LDAP / Active Directory? 📇
💡 Analogi: Buku Telepon Kantor Pusat
Bayangkan sebuah perusahaan besar dengan ribuan karyawan.
- Tanpa LDAP: Setiap kali ada karyawan baru yang masuk, manajer kantor harus menuliskan nama, nomor telepon, dan kata sandi mereka di lima buku catatan berbeda untuk divisi yang berbeda (membuat akun lokal di setiap server).
- Dengan LDAP: Perusahaan memelihara satu buku telepon digital terpusat (server LDAP). Saat pengguna masuk, Cockpit cukup memeriksa nama dan kata sandi mereka ke buku telepon pusat tersebut untuk melihat apakah mereka adalah karyawan aktif.
Cara Kerjanya (Langkah-demi-Langkah):
- Pengguna Login: Pengguna memasukkan nama pengguna mereka (misalnya
alice@corp.awan.io) pada halaman login Cockpit. - Cockpit Terhubung: Cockpit mendeteksi domain
@corp.awan.iodan terhubung secara aman ke server Active Directory perusahaan Anda. - Pencarian Direktori (Bind DN): Cockpit masuk menggunakan akun layanan khusus (disebut Bind DN) untuk mencari nama "alice" di buku telepon.
- Verifikasi Kata Sandi: Setelah Cockpit menemukan data Alice, Cockpit meminta server LDAP untuk mencocokkan kata sandi yang dimasukkan oleh Alice.
- Hak Akses & Kelompok: Jika kata sandi benar, Cockpit memeriksa grup mana saja (misalnya
DevOps Administrators) tempat Alice terdaftar di kantor dan memberinya hak akses yang sesuai.
Properti Konfigurasi Active Directory
Untuk menghubungkan Cockpit ke direktori perusahaan, buka menu Administration > Identity Sources di UI Cockpit. Anda perlu mengisi properti berikut, yang dijelaskan di bawah ini:
| Properti | Contoh Nilai | Penjelasan Sederhana |
|---|---|---|
| Domain Name | corp.awan.io | Domain email yang memicu pencarian ke direktori. |
| LDAP URL | ldaps://ad-controller.corp.awan.io:636 | Alamat server Active Directory Anda. Awalan ldaps berarti koneksi aman. |
| Base DN | dc=corp,dc=awan,dc=io | Titik awal pencarian di dalam pohon direktori perusahaan. |
| Bind DN | cn=svc-cockpit,ou=ServiceAccounts,dc=corp,dc=awan,dc=io | Nama akun layanan (service account) yang digunakan Cockpit untuk mencari direktori. |
| Bind Password | ******** | Kata sandi untuk akun layanan di atas. |
| User Search Filter | (&(objectClass=user)(sAMAccountName={username})) | Aturan pencarian pengguna. Filter ini berbunyi: "Cari objek user yang nama login-nya cocok dengan username yang dimasukkan." |
| Group Search Filter | (&(objectClass=group)(member={dn})) | Aturan pencarian grup yang digunakan untuk mengetahui grup mana saja yang diikuti oleh user. |
Memetakan Grup Perusahaan ke Hak Akses Cockpit
Setelah Cockpit terhubung ke direktori perusahaan Anda, Anda dapat memetakan grup di Active Directory ke kelompok pengguna di Cockpit:
- Masuk ke Cockpit sebagai administrator.
- Buka menu Access Control > Group Mappings.
- Klik Add Mapping.
- Masukkan AD/LDAP Group DN (jalur lengkap grup di direktori kantor, misalnya
cn=devops-team,ou=Groups,dc=corp,dc=awan,dc=io). - Pilih Cockpit Group yang cocok (misalnya
Cluster Administrators). - Klik Save.
Sekarang, setiap kali anggota grup devops-team di Active Directory login ke Cockpit, mereka akan langsung mendapatkan akses administrator tanpa Anda perlu membuatkan akun baru satu per satu!