身份提供程序 CR 示例 第 第 7 章 章 配置身份提供程序 配置身份提供程序 7.1. 配置 HTPASSWD 身份提供程序 7.2. 配置 KEYSTONE 身份提供程序 7.3. 配置 LDAP 身份提供程序 7.4. 配置基本身份验证身份提供程序 7.5. 配置请求标头身份提供程序 7.6. 配置 GITHUB 或 GITHUB ENTERPRISE 身份提供程序 7.7. 配置 GITLAB 用户 户 17.1. API 模仿 17.2. 模拟 SYSTEM:ADMIN 用户 17.3. 模拟 SYSTEM:ADMIN 组 第 第 18 章 章 同步 同步 LDAP 组 组 18.1. 关于配置 LDAP 同步 75 82 83 86 86 87 87 88 89 89 89 90 90 90 91 94 94 94 96 98 98 101 101 . . . . . . . . . . . . . . . . . . . . . . . . . . . 18.2. 运行 LDAP 同步 18.3. 运行组修剪任务 18.4. 自动同步 LDAP 组 18.5. LDAP 组同步示例 18.6. LDAP 同步配置规格 第 第 19 章 章 管理云供 管理云供应 应商凭 商凭证 证 19.1. 关于 CLOUD CREDENTIAL

--image=nginx # Create an identity with identity provider "acme_ldap" and the identity provider username "adamjones" oc create identity acme_ldap:adamjones OpenShift Container Platform 4.10 CLI 工具 工具 34 user ajones --full-name="Adam Jones" # Map the identity "acme_ldap:adamjones" to the user "ajones" oc create useridentitymapping acme_ldap:adamjones ajones # Start a shell session into a pod using --sync-config=/path/to/ldap-sync-config.yaml --confirm # Prune all orphaned groups except the ones from the blacklist file oc adm groups prune --blacklist=/path/to/blacklist.txt --sync-config=/path/to/ldap-sync-config

--image=nginx # Create an identity with identity provider "acme_ldap" and the identity provider username "adamjones" oc create identity acme_ldap:adamjones # Create a new image stream oc create imagestream user ajones --full-name="Adam Jones" # Map the identity "acme_ldap:adamjones" to the user "ajones" oc create useridentitymapping acme_ldap:adamjones ajones # Start a shell session into a pod using --sync-config=/path/to/ldap-sync-config.yaml --confirm # Prune all orphaned groups except the ones from the blacklist file oc adm groups prune --blacklist=/path/to/blacklist.txt --sync-config=/path/to/ldap-sync-config

--image=nginx # Create an identity with identity provider "acme_ldap" and the identity provider username "adamjones" oc create identity acme_ldap:adamjones # Create a new image stream oc create imagestream user ajones --full-name="Adam Jones" # Map the identity "acme_ldap:adamjones" to the user "ajones" oc create useridentitymapping acme_ldap:adamjones ajones # Start a shell session into a pod using --sync-config=/path/to/ldap-sync-config.yaml --confirm # Prune all orphaned groups except the ones from the blacklist file oc adm groups prune --blacklist=/path/to/blacklist.txt --sync-config=/path/to/ldap-sync-config

行注记 记 53 system:discovery system:openshift:discovery (BZ#1821771) oc annotate 命令不适用于包含了等号（=）的 LDAP 组名称，因为命令使用等号作为注释名称和 值之间的分隔符。作为临时解决方案，使用 oc patch 或 oc edit 添加注解。(BZ#1917280) 如果安装程序无法获取与 Google Cloud 架构上运行的系统运行 oc-mirror。(OCPBUGS- 22264) 如果多个 OpenShift Container Platform 组指向同一 LDAP 组，则只同步一个 OpenShift Container Platform 组。当多个组指向同一 LDAP 组时，oc adm groups sync 命令会显示一个 警告，表示只有一个组有资格映射。(OCPBUGS-11123) 当在禁用安全引导的节点中安装

添加成员以授予它们对集群的访问权限。 您可以为 OpenShift Dedicated 集群配置不同的身份提供程序类型。支持的类型包括 GitHub、GitHub Enterprise、GitLab、Google、LDAP、OpenID Connect 和 htpasswd 身份提供程序。 重要 重要 htpasswd 身份提供程序选项仅用于创建单一静态管理用户。htpasswd 不支持作为 OpenShift

OpenShift Container Platform 中的工作方式。 OpenShift Container Platform 支持多种身份提供程序，包括 HTPasswd、Keystone、LDAP、基 本身份验证、请求标头、GitHub、GitLab、Google 和 OpenID。 管理 管理入口（ 入口（ingress） ）、 、API 服 服务 务器 器和 和 服 服务证书 务证书

您还可以在验证过程中显示 自定义的错误页。 注意 注意 自定义错误模板仅限于使用重定向的身份提供程序（IDP），如请求标头和基于 OIDC 的操 作。它对使用直接密码身份验证的 IDP （如 LDAP 和 htpasswd）没有影响。 先决条件 先决条件 您必须具有管理员特权。 流程 流程 1. 运行以下命令来创建您可以修改的模板： 2. 创建 secret: $ oc edit ingress

--sync-config=path/to/sync/config [] $ oc adm prune groups --sync-config=ldap-sync-config.yaml $ oc adm prune groups --sync-config=ldap-sync-config.yaml --confirm 第 第 13 章 章 修剪 修剪对 对象以重新声明 象以重新声明资 资源 源 163

--sync-config=path/to/sync/config [] $ oc adm prune groups --sync-config=ldap-sync-config.yaml $ oc adm prune groups --sync-config=ldap-sync-config.yaml --confirm 第 第 14 章 章 修剪 修剪对 对象以重新声明 象以重新声明资 资源 源 177