OpenShift 4 Hands-on Lab (11) 用户身份认证和资源访问限制

最新推荐文章于 2023-09-04 15:17:00 发布
最新推荐文章于 2023-09-04 15:17:00 发布
阅读量741 收藏
点赞数
分类专栏: OpenShift 4 安全 Ops 文章标签: identity 权限 用户管理 身份认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/104470294
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏
Ops
59 篇文章 2 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.6环境中验证

1.《OpenShift 4 - 增加 HTPasswd方式的身份认证

2.《OpenShift 4 - 增加管理员用户

3.《OpenShift 4 - 设置用户/组对项目的访问权限

4.《OpenShift 4 - 访问权限分级授权

5. 限制普通用户创建项目

  1. 查看名为self-provisioners的RBAC。
$ oc get clusterrolebinding.rbac self-provisioners -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: "2019-12-12T06:53:34Z"
  name: self-provisioners
  resourceVersion: "5348"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/self-provisioners
  uid: 1d825ddb-1cac-11ea-b776-525400e21483
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: self-provisioner
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:authenticated:oauth
  1. 执行命令,删除self-provisioners中的项目。然后再次查看名为self-provisioners的RBAC,确认subjects已经没有项目了。
$ oc patch clusterrolebinding.rbac self-provisioners -p '{"subjects": null}'
clusterrolebinding.rbac.authorization.k8s.io/self-provisioners patched
$ oc get clusterrolebinding.rbac self-provisioners -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: "2019-12-12T06:53:34Z"
  name: self-provisioners
  resourceVersion: "230271"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/self-provisioners
  uid: 1d825ddb-1cac-11ea-b776-525400e21483
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: self-provisioner
  1. 分别用集群管理员和一般用户创建项目,确认一般用户无法创建新项目,而集群管理员还可创建新项目。
  2. 执行命令,编辑self-provisioners。
$ oc edit clusterrolebinding.rbac self-provisioners -o yaml

将下面的yaml内容追加到最后,然后保存退出即可。

subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:authenticated:oauth
  1. 分别用集群管理员和一般用户创建项目,确认一般用户和集群管理员都可创建新项目了。
dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OPENSHIFT-5-控制资源访问-实验
拙能胜巧
11-12 183
1.检查机器并确认环境正常。登陆到master节点。在底层生成一个user-review用户。退出登陆。 2.在网页界面作为管理员admin登陆。移除普通用户创建项目的权限。 3.使用user-review账户登陆。尝试创建项目test,无法创建。 4.使用管理员admin账户登陆。创建项目secure-review。 5.使用项目secure-review,给用户user-view授权编...
OPENSHIFT-5-控制资源访问-保护数据库密码
拙能胜巧
11-09 232
1.首先检查机器并确认环境正常。登陆OCP。创建新项目。转到指定目录并查看mysql用于openshift的模板文件,没有关于保密的定义。虚拟机pod进行初始化的时候会要求环境变量(有默认值)。 2.创建一个加密并对用户,密码,还有管理员密码进行指定。以yaml格式输出加密的配置文件。 3.创建一个新应用。 4.查看虚拟机pod列表信息。 5.转到家目录并查看端口信息(不关闭此终端界面)。...
openshift 配置ldap认证
acpf94337的博客
12-07 336
master主配置文件: ...... identityProviders: - challenge: true login: true mappingMethod: claim name: Ldap_auth provider: apiVersion: v1 kind: LDAPPasswordIde...
OpenShift 4 - 获取能访问API服务的用户认证Token
多恩斯基的博客
06-10 1657
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.7环境中验证 文章目录方法1方法2方法3参考 方法1 $ oc login -u admin -p password $ oc whoami -t sha256~LhbScBPjgsa_fyQTg-JM7UNDc-M3ZPyrdT1oH9hTIB8 方法2 获取OpenShift的Oauth服务访问地址。 $ OAUTH=$(oc get route oauth-openshift -n openshift-aut
RHCA之路---EX280(3)
最新发布
Q先生
09-04 348
RHCA之路—EX280(3)
openshift-node-express-api-template:一个 OpenShift 模板,用于实现具有基本身份验证和自定义路由的 REST API
06-05
一个 OpenShift 模板,用于实现具有基本身份验证和自定义路由的 REST API 这是什么? 最近,我不得不在 OpenShift ( ) 上使用 Node 和 Express 实现 REST API 网络服务:这是一项了不起的服务,可让您拥有大量免费...
openshift-auto-upi:OpenShift自动化的用户提供的基础结构
02-01
4. **认证与授权**:配置OpenShift的认证机制,如OAuth、证书和角色基于访问控制(RBAC)。 5. **网络插件集成**:集成各种网络插件,如OpenShift SDN、OVNKubernetes等,实现容器间的网络通信。 6. **监控与日志**...
openshift-java-client, OpenShift REST API的Java客户端.zip
09-18
openshift-java-client, OpenShift REST API的Java客户端 OpenShift客户端 OpenShift REST API的Java客户端。 它几乎提供了 rhc-* 命令行 工具( 。创建/重命名域,创建/销毁应用程序,列出应用程序,列出可用墨盒,...
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM中创建所有SRV,A和PTR...
openshift-jee-sample:将在openshift环境中部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境中部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
openshift权限管理
haiziccc的专栏
04-11 445
openshift中创建账户的默认角色是self-provisioner,而该角色是拥有创建project权限的。 https://docs.openshift.com/container-platform/4.2/authentication/using-rbac.html 但我们并不希望每个用户都拥有该权限,故需要对此进行调整。 oc describe clusterrole.r...
理解OpenShift(4):用户权限管理
weixin_34212189的博客
12-08 985
理解OpenShift(1):网络之 Router 和 Route 理解OpenShift(2):网络之 DNS(域名服务) 理解OpenShift(3):网络之 SDN 理解OpenShift(4):用户权限管理 理解OpenShift(5):从 Docker Volume 到 OpenShift Persistent Volume   ** 本文基于 OpenShift 3.11...
project 模板_OpenShift管理Project
weixin_39551366的博客
12-06 372
一个关于K8S的故事概述在OpenShift容器平台中,项目用于对相关对象进行分组和隔离。作为管理员,您可以授予开发人员对某些项目的访问权限,允许他们创建自己的项目,并授予他们在各个项目中的管理权限。创建一个新的Project可以允许开发人员创建自己的项目。开发人员可以通过web控制台或者oc new-project命令来创建新的project。$ oc new-project test...
KubeSphere v3.3.1 权限控制详解
KubeSphere
12-09 953
作者:周文浩,青云科技研发工程师,KubeSphere Maintainer。热爱云原生,热爱开源,目前负责 KubeSphere 权限控制的开发与维护。 KubeSphere 3.3.1 已经发布一个多月了。 3.3.1 版本对于 KubeSphere 来说只是一个小的 Patch 版本,但是权限控制模块改动较大。这篇文章将从开发者的视角为你分享权限控制模块的改动内容。 这次的改动的主要目的是提升 KubeSphere 权限控制的安全性和易用性。使用过 KubeSphere 的小伙伴应该对 KubeS
快速读懂-使用 RBAC 定义和应用权限-kubernetes&openshift
随笔记录-分享&记忆
05-20 421
快速读懂-使用 RBAC 定义和应用权限-kubernetes&openshift1、参考资料openshift官方文档和kubernetes中文文档2、概念理解:2.1、Role-Based Access、RBAC2.2、RoleClusterRole2.3、RoleBindingClusterRoleBinding2.4、使用RoleBinding去绑定ClusterRole3.RBAC应用3.1 Role --> User -->Rolebinding3.2 RoleBindi
通过社交网络进行OWIN OAuth2身份验证
寒冰屋的专栏
05-16 843
• 下载OwinAuthenticationExample.zip - 420.6 KB 介绍 在本文中,您可以找到有关如何通过社交网络(Facebook,Google和Microsoft)对用户进行身份验证的代码,演示和说明示例。如何提取有关用户的其他信息,如头像,电子邮件和全名。 基本概念 Owin中间件 该Owin中间件模块负责处理与外部供应商的身份验证(如Facebook,谷歌等)的认证(...
云原生KubeSphere实战多租户系统实战
花&败
04-20 748
一、简介 KubeSphere 的多租户系统分三个层级,即集群、企业空间和项目。KubeSphere 中的项目等同于 Kubernetes 的命名空间。 您需要创建一个新的企业空间进行操作,而不是使用系统企业空间,系统企业空间中运行着系统资源,绝大部分仅供查看。出于安全考虑,强烈建议给不同的租户授予不同的权限在企业空间中进行协作。 您可以在一个 KubeSphere 集群中创建多个企业空间,每个企业空间下可以创建多个项目。KubeSphere 为每个级...
openshift 学习笔记-6 secret and quota
vito
10-18 3975
容器是在linux命名空间和CGroup的基础上,通过SELinux限制容器进程对资源的读取访问限制容器的容量。容器的安全隔离已经达到了生产可用级别。 容器安全涉及到多个层面:1、容器自身安全;2、容器镜像安全;3、宿主机安全; 1、用户认证openshift通过OAuth进行用户认证,OAuth是一个开源的认证和授权框架,OAuth通过用户登录认证以后,返回一个token,用户可以在有效的时间内
Spring Boot项目系列(4)集成Spring Security ,Oauth2实现项目级别的权限控制和鉴权管理
weixin_43704107的博客
10-17 1721
前言     项目中出现的,接口权限问题,和第三方鉴权功能的简单实现。技术采用spring boot+spring security+oauth2相关技术,做一个简单的权限管理。本项目,只适合用来学习搭建项目,并不适用于直接用于项目开发。还需要加点改造。本项目github地址: https://gitee.com/shen_wen_jia/learning-projects/tree/master/springsecurity-oauth2          整体项目架构 jar包
openshift internal-registry 切换 sc
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值