OpenShift Container Platform 4.13 认证和授权 - IT文库

语言	格式	评分
中文（简体）	.pdf	3
摘要
本文档详细介绍了 OpenShift Container Platform 4.13 中的身份验证和授权机制。内容涵盖身份验证的定义与实现方式，包括bearer令牌、Cloud Credential Operator（CCO）和配置映射等关键概念。授权部分重点介绍了基于角色的访问控制（RBAC），包括角色、绑定和权限管理。文档还讨论了支持的身份提供程序类型，如htpasswd、Keystone、LDAP、GitHub等，并提供了配置与管理的详细说明。此外，还介绍了OAuth服务器的元数据以及如何通过RBAC控制用户对集群和资源的访问。
AI总结
### OpenShift Container Platform 4.13 认证和授权总结 #### 1. 身份验证与授权概述 - 身份验证：确定用户是否可以访问 OpenShift Container Platform 集群，确保只有经过身份验证的用户可以访问集群。 - 授权：决定用户是否有权限执行特定操作，管理员可以通过基于角色的访问控制（RBAC）定义权限。 #### 2. 关键术语 - Bearer 令牌：用于通过 `Authorization: Bearer ` 标头向 API 进行身份验证。 - Cloud Credential Operator (CCO)：管理云供应商凭证，支持 Mint 模式以创建具有最小权限的新凭证。 - 配置映射：将配置数据注入 pod，供应用程序使用。 - 组：用于一次性向多个用户授予权限。 - OAuth 客户端：用于获取 bearer 令牌，OpenShift 内置 OAuth 服务器支持多种客户端配置。 #### 3. 授权管理 - RBAC 对象：包括规则、角色和绑定，用于定义和分配权限。 - 命名空间隔离：限制资源可见性，确保资源仅在特定命名空间内可用。 - Service Account：为 API 访问提供灵活的身份验证方式，无需共享用户凭证。 - 有范围令牌：指定特定操作权限，用于委派权限给其他用户或服务帐户。 #### 4. 身份提供程序 - 支持多种身份提供程序，如 htpasswd、Keystone、LDAP、Basic Authentication、Request Header、GitHub、GitLab、Google 和 OpenID Connect。 - 配置步骤： 1. 创建自定义资源（CR）描述身份提供程序。 2. 将 CR 添加到集群中。 3. 使用 RBAC 定义权限。 #### 5. OAuth 服务器元数据 - OpenShift 实施 OAuth 2.0 授权服务器元数据规范，允许应用程序通过 `https://openshift.default.svc/.well-known/oauth-authorization-server` 获取授权服务器信息，包括端点和支持的范围。 #### 6. 基于角色的访问控制（RBAC） - 本地角色：用于控制对特定资源的访问。 - 集群角色：定义对集群范围资源的访问权限。 - cluster-admin 用户：默认只有一个 kubeadmin 用户，可创建和删除集群管理员用户以提高安全性。 #### 7. 同步 LDAP 组 - 通过同步 LDAP 服务器中的组与 OpenShift 用户组，实现从单一地方管理用户组。 #### 8. 其他资源 - 文档提供详细配置说明，包括如何管理 OAuth 令牌、同步 LDAP 组以及使用 RBAC 控制访问。总结：OpenShift Container Platform 4.13 提供了灵活且强大的认证和授权机制，支持多种身份提供程序和基于角色的访问控制，确保集群的安全性和灵活性。

来源	access.redhat.com

P1

P2

P3

P4

P5

P6

P7

下载文档到本地，方便使用

- 可预览页数已用完，剩余 194 页请下载阅读 -

文档评分

helloworld

文档

1176

文章

0

码力

320

个性签名

暂无个性签名