doc/install/setup-login.html.textile.liquid

   1 ---
   2 layout: default
   3 navsection: installguide
   4 title: Set up web based login
   5 ...
   6 {% comment %}
   7 Copyright (C) The Arvados Authors. All rights reserved.
   8
   9 SPDX-License-Identifier: CC-BY-SA-3.0
  10 {% endcomment %}
  11
  12 Select one of the following login mechanisms for your cluster.
  13
  14 # If all users will authenticate with Google, "configure Google login":#google.
  15 # If all users will authenticate with an OpenID Connect provider (other than Google), "configure OpenID Connect":#oidc.
  16 # If all users will authenticate with an existing LDAP service, "configure LDAP":#ldap.
  17 # If all users will authenticate using PAM as configured on your controller node, "configure PAM":#pam.
  18
  19 h2(#google). Google login
  20
  21 With this configuration, users will sign in with their Google accounts.
  22
  23 Use the <a href="https://console.developers.google.com" target="_blank">Google Developers Console</a> to create a set of client credentials.
  24 # Select or create a project.
  25 # Click *+ Enable APIs and Services*.
  26 #* Search for *People API* and click *Enable API*.
  27 #* Navigate back to the main "APIs & Services" page.
  28 # On the sidebar, click *OAuth consent screen*.
  29 #* On consent screen settings, enter your identifying details.
  30 #* Under *Authorized domains* add your domain (@example.com@).
  31 #* Click *Save*.
  32 # On the sidebar, click *Credentials*, then click *Create credentials*&rarr;*OAuth client ID*
  33 # Under *Application type* select *Web application*.
  34 # Add the JavaScript origin: @https://ClusterID.example.com/@
  35 # Add the Redirect URI: @https://ClusterID.example.com/login@
  36 # Copy the values of *Client ID* and *Client secret* to the @Login.Google@ section of @config.yml@.
  37
  38 <pre>
  39     Login:
  40       Google:
  41         Enable: true
  42         ClientID: "0000000000000-zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz.apps.googleusercontent.com"
  43         ClientSecret: "zzzzzzzzzzzzzzzzzzzzzzzz"
  44 </pre>
  45
  46 h2(#oidc). OpenID Connect
  47
  48 With this configuration, users will sign in with a third-party OpenID Connect provider. The provider will supply appropriate values for the issuer URL, client ID, and client secret config entries.
  49
  50 <pre>
  51     Login:
  52       OpenIDConnect:
  53         Enable: true
  54         Issuer: https://accounts.example.com/
  55         ClientID: "0123456789abcdef"
  56         ClientSecret: "zzzzzzzzzzzzzzzzzzzzzzzz"
  57 </pre>
  58
  59 Check the OpenIDConnect section in the "default config file":{{site.baseurl}}/admin/config.html for more details and configuration options.
  60
  61 h2(#ldap). LDAP
  62
  63 With this configuration, authentication uses an external LDAP service like OpenLDAP or Active Directory.
  64
  65 Enable LDAP authentication and provide your LDAP server's host, port, and credentials (if needed to search the directory) in @config.yml@:
  66
  67 <pre>
  68     Login:
  69       LDAP:
  70         Enable: true
  71         URL: ldap://ldap.example.com:389
  72         SearchBindUser: cn=lookupuser,dc=example,dc=com
  73         SearchBindPassword: xxxxxxxx
  74         SearchBase: ou=Users,dc=example,dc=com
  75 </pre>
  76
  77 The email address reported by LDAP will be used as primary key for Arvados accounts. This means *users must not be able to edit their own email addresses* in the directory.
  78
  79 Additional configuration settings are available:
  80 * @StartTLS@ is enabled by default.
  81 * @StripDomain@ and @AppendDomain@ modify the username entered by the user before searching for it in the directory.
  82 * @SearchAttribute@ (default @uid@) is the LDAP attribute used when searching for usernames.
  83 * @SearchFilters@ accepts LDAP filter expressions to control which users can log in.
  84
  85 Check the LDAP section in the "default config file":{{site.baseurl}}/admin/config.html for more details and configuration options.
  86
  87 h2(#pam). PAM (experimental)
  88
  89 With this configuration, authentication is done according to the Linux PAM ("Pluggable Authentication Modules") configuration on your controller host.
  90
  91 Enable PAM authentication in @config.yml@:
  92
  93 <pre>
  94     Login:
  95       PAM:
  96         Enable: true
  97 </pre>
  98
  99 Check the "default config file":{{site.baseurl}}/admin/config.html for more PAM configuration options.
 100
 101 The default PAM configuration on most Linux systems uses the local password database in @/etc/shadow@ for all logins. In this case, in order to log in to Arvados, users must have a shell account and password on the controller host itself. This can be convenient for a single-user or test cluster.
 102
 103 PAM can also be configured to use different backends like LDAP. In a production environment, PAM configuration should use the service name ("arvados" by default) to set a separate policy for Arvados logins: generally, Arvados users should not have shell accounts on the controller node.
 104
 105 For information about configuring PAM, refer to the "PAM System Administrator's Guide":http://www.linux-pam.org/Linux-PAM-html/Linux-PAM_SAG.html.