Jump To Close Expand all Collapse all Table of contents 认证和授权 1. 了解身份验证 Expand section "1. 了解身份验证" Collapse section "1. 了解身份验证" 1.1. 用户 1.2. 组 1.3. API 身份验证 Expand section "1.3. API 身份验证" Collapse section "1.3. API 身份验证" 1.3.1. OpenShift Container Platform OAuth 服务器 Expand section "1.3.1. OpenShift Container Platform OAuth 服务器" Collapse section "1.3.1. OpenShift Container Platform OAuth 服务器" 1.3.1.1. OAuth 令牌请求 1.3.1.2. API 模仿 1.3.1.3. Prometheus 身份验证指标 2. 配置内部 OAuth 服务器 Expand section "2. 配置内部 OAuth 服务器" Collapse section "2. 配置内部 OAuth 服务器" 2.1. OpenShift Container Platform OAuth 服务器 2.2. OAuth 令牌请求流量和响应 2.3. 内部 OAuth 服务器选项 Expand section "2.3. 内部 OAuth 服务器选项" Collapse section "2.3. 内部 OAuth 服务器选项" 2.3.1. OAuth 令牌期间选项 2.3.2. OAuth 授权选项 2.4. 配置内部 OAuth 服务器的令牌期间 2.5. 注册其他 OAuth 客户端 2.6. OAuth 服务器元数据 2.7. OAuth API 事件故障排除 3. 了解身份提供程序配置 Expand section "3. 了解身份提供程序配置" Collapse section "3. 了解身份提供程序配置" 3.1. 关于 OpenShift Container Platform 中的身份提供程序 3.2. 支持的身份提供程序 3.3. 移除 kubeadmin 用户 3.4. 身份提供程序参数 3.5. 身份提供程序 CR 示例 4. 配置身份提供程序 Expand section "4. 配置身份提供程序" Collapse section "4. 配置身份提供程序" 4.1. 配置 HTPasswd 身份提供程序 Expand section "4.1. 配置 HTPasswd 身份提供程序" Collapse section "4.1. 配置 HTPasswd 身份提供程序" 4.1.1. 关于 OpenShift Container Platform 中的身份提供程序 4.1.2. 使用 Linux 创建 HTPasswd 文件 4.1.3. 使用 Windows 创建 HTPasswd 文件 4.1.4. 创建 HTPasswd secret 4.1.5. HTPasswd CR 示例 4.1.6. 将身份提供程序添加到集群中 4.1.7. 为 HTPasswd 身份提供程序更新用户 4.1.8. 使用 web 控制台配置身份提供程序 4.2. 配置 Keystone 身份提供程序 Expand section "4.2. 配置 Keystone 身份提供程序" Collapse section "4.2. 配置 Keystone 身份提供程序" 4.2.1. 关于 OpenShift Container Platform 中的身份提供程序 4.2.2. 创建 secret 4.2.3. 创建配置映射 4.2.4. Keystone CR 示例 4.2.5. 将身份提供程序添加到集群中 4.3. 配置 LDAP 身份提供程序 Expand section "4.3. 配置 LDAP 身份提供程序" Collapse section "4.3. 配置 LDAP 身份提供程序" 4.3.1. 关于 OpenShift Container Platform 中的身份提供程序 4.3.2. 关于 LDAP 身份验证 4.3.3. 创建 LDAP secret 4.3.4. 创建配置映射 4.3.5. LDAP CR 示例 4.3.6. 将身份提供程序添加到集群中 4.4. 配置基本身份验证身份提供程序 Expand section "4.4. 配置基本身份验证身份提供程序" Collapse section "4.4. 配置基本身份验证身份提供程序" 4.4.1. 关于 OpenShift Container Platform 中的身份提供程序 4.4.2. 关于基本身份验证 4.4.3. 创建 secret 4.4.4. 创建配置映射 4.4.5. 基本身份验证 CR 示例 4.4.6. 将身份提供程序添加到集群中 4.4.7. 基本身份供应商的 Apache HTTPD 配置示例 Expand section "4.4.7. 基本身份供应商的 Apache HTTPD 配置示例" Collapse section "4.4.7. 基本身份供应商的 Apache HTTPD 配置示例" 4.4.7.1. 文件要求 4.4.8. 基本身份验证故障排除 4.5. 配置请求标头身份提供程序 Expand section "4.5. 配置请求标头身份提供程序" Collapse section "4.5. 配置请求标头身份提供程序" 4.5.1. 关于 OpenShift Container Platform 中的身份提供程序 4.5.2. 关于请求标头身份验证 Expand section "4.5.2. 关于请求标头身份验证" Collapse section "4.5.2. 关于请求标头身份验证" 4.5.2.1. Microsoft Windows 上的 SSPI 连接支持 4.5.3. 创建配置映射 4.5.4. 请求标头 CR 示例 4.5.5. 将身份提供程序添加到集群中 4.5.6. 使用请求标头进行 Apache 验证的配置示例 4.6. 配置 GitHub 或 GitHub Enterprise 身份提供程序 Expand section "4.6. 配置 GitHub 或 GitHub Enterprise 身份提供程序" Collapse section "4.6. 配置 GitHub 或 GitHub Enterprise 身份提供程序" 4.6.1. 关于 OpenShift Container Platform 中的身份提供程序 4.6.2. 注册 GitHub 应用程序 4.6.3. 创建 secret 4.6.4. 创建配置映射 4.6.5. GitHub CR 示例 4.6.6. 将身份提供程序添加到集群中 4.7. 配置 GitLab 身份提供程序 Expand section "4.7. 配置 GitLab 身份提供程序" Collapse section "4.7. 配置 GitLab 身份提供程序" 4.7.1. 关于 OpenShift Container Platform 中的身份提供程序 4.7.2. 创建 secret 4.7.3. 创建配置映射 4.7.4. GitLab CR 示例 4.7.5. 将身份提供程序添加到集群中 4.8. 配置 Google 身份提供程序 Expand section "4.8. 配置 Google 身份提供程序" Collapse section "4.8. 配置 Google 身份提供程序" 4.8.1. 关于 OpenShift Container Platform 中的身份提供程序 4.8.2. 创建 secret 4.8.3. Google CR 示例 4.8.4. 将身份提供程序添加到集群中 4.9. 配置 OpenID Connect 身份提供程序 Expand section "4.9. 配置 OpenID Connect 身份提供程序" Collapse section "4.9. 配置 OpenID Connect 身份提供程序" 4.9.1. 关于 OpenShift Container Platform 中的身份提供程序 4.9.2. 创建 secret 4.9.3. 创建配置映射 4.9.4. OpenID Connect CR 示例 4.9.5. 将身份提供程序添加到集群中 4.9.6. 使用 web 控制台配置身份提供程序 5. 使用 RBAC 定义和应用权限 Expand section "5. 使用 RBAC 定义和应用权限" Collapse section "5. 使用 RBAC 定义和应用权限" 5.1. RBAC 概述 Expand section "5.1. RBAC 概述" Collapse section "5.1. RBAC 概述" 5.1.1. 默认集群角色 5.1.2. 评估授权 Expand section "5.1.2. 评估授权" Collapse section "5.1.2. 评估授权" 5.1.2.1. 集群角色聚合 5.2. 项目和命名空间 5.3. 默认项目 5.4. 查看集群角色和绑定 5.5. 查看本地角色和绑定 5.6. 向用户添加角色 5.7. 创建本地角色 5.8. 创建集群角色 5.9. 本地角色绑定命令 5.10. 集群角色绑定命令 5.11. 创建集群管理员 6. 移除 kubeadmin 用户 Expand section "6. 移除 kubeadmin 用户" Collapse section "6. 移除 kubeadmin 用户" 6.1. kubeadmin 用户 6.2. 移除 kubeadmin 用户 7. 配置用户代理 Expand section "7. 配置用户代理" Collapse section "7. 配置用户代理" 7.1. 关于用户代理 7.2. 配置用户代理 8. 了解并创建服务帐户 Expand section "8. 了解并创建服务帐户" Collapse section "8. 了解并创建服务帐户" 8.1. 服务帐户概述 8.2. 创建服务帐户 8.3. 为服务帐户授予角色的示例 9. 在应用程序中使用服务帐户 Expand section "9. 在应用程序中使用服务帐户" Collapse section "9. 在应用程序中使用服务帐户" 9.1. 服务帐户概述 9.2. 默认服务帐户 Expand section "9.2. 默认服务帐户" Collapse section "9.2. 默认服务帐户" 9.2.1. 默认集群服务帐户 9.2.2. 默认项目服务帐户和角色 9.3. 创建服务帐户 9.4. 在外部使用服务帐户凭证 10. 使用服务帐户作为 OAuth 客户端 Expand section "10. 使用服务帐户作为 OAuth 客户端" Collapse section "10. 使用服务帐户作为 OAuth 客户端" 10.1. 服务帐户作为 OAuth 客户端 Expand section "10.1. 服务帐户作为 OAuth 客户端" Collapse section "10.1. 服务帐户作为 OAuth 客户端" 10.1.1. 重定向作为 OAuth 客户端的服务帐户的 URI 11. 界定令牌作用域 Expand section "11. 界定令牌作用域" Collapse section "11. 界定令牌作用域" 11.1. 关于界定令牌作用域 Expand section "11.1. 关于界定令牌作用域" Collapse section "11.1. 关于界定令牌作用域" 11.1.1. 用户范围 11.1.2. 角色范围 12. 使用绑定的服务帐户令牌 Expand section "12. 使用绑定的服务帐户令牌" Collapse section "12. 使用绑定的服务帐户令牌" 12.1. 关于绑定服务帐户令牌 12.2. 使用卷投射配置绑定服务帐户令牌 13. 管理安全性上下文约束 Expand section "13. 管理安全性上下文约束" Collapse section "13. 管理安全性上下文约束" 13.1. 关于安全性上下文约束 Expand section "13.1. 关于安全性上下文约束" Collapse section "13.1. 关于安全性上下文约束" 13.1.1. SCC 策略 13.1.2. 控制卷 13.1.3. 准入 13.1.4. SCC 优先级 13.2. 关于预分配安全性上下文约束值 13.3. 安全性上下文约束示例 13.4. 创建安全性上下文约束 13.5. 基于角色的对安全性上下文限制的访问 13.6. 安全性上下文约束参考命令 Expand section "13.6. 安全性上下文约束参考命令" Collapse section "13.6. 安全性上下文约束参考命令" 13.6.1. 列出 SCC 13.6.2. 检查 SCC 13.6.3. 删除 SCC 13.6.4. 更新 SCC 14. 模拟 system:admin 用户 Expand section "14. 模拟 system:admin 用户" Collapse section "14. 模拟 system:admin 用户" 14.1. API 模仿 14.2. 模拟 system:admin 用户 14.3. 模拟 system:admin 组 15. 同步 LDAP 组 Expand section "15. 同步 LDAP 组" Collapse section "15. 同步 LDAP 组" 15.1. 关于配置 LDAP 同步 Expand section "15.1. 关于配置 LDAP 同步" Collapse section "15.1. 关于配置 LDAP 同步" 15.1.1. 关于 RFC 2307 配置文件 15.1.2. 关于 Active Directory 配置文件 15.1.3. 关于增强 Active Directory 配置文件 15.2. 运行 LDAP 同步 Expand section "15.2. 运行 LDAP 同步" Collapse section "15.2. 运行 LDAP 同步" 15.2.1. 将 LDAP 服务器与 OpenShift Container Platform 同步 15.2.2. 将 OpenShift Container Platform 组与 LDAP 服务器同步 15.2.3. 将 LDAP 服务器上的子组与 OpenShift Container Platform 同步 15.3. 运行组修剪任务 15.4. LDAP 组同步示例 Expand section "15.4. LDAP 组同步示例" Collapse section "15.4. LDAP 组同步示例" 15.4.1. 使用 RFC 2307 模式同步组 15.4.2. 使用 RFC2307 模式及用户定义的名称映射来同步组 15.4.3. 使用 RFC 2307 及用户定义的容错来同步组 15.4.4. 使用 Active Directory 模式同步组 15.4.5. 使用增强 Active Directory 模式同步组 Expand section "15.4.5. 使用增强 Active Directory 模式同步组" Collapse section "15.4.5. 使用增强 Active Directory 模式同步组" 15.4.5.1. LDAP 嵌套成员资格同步示例 15.5. LDAP 同步配置规格 Expand section "15.5. LDAP 同步配置规格" Collapse section "15.5. LDAP 同步配置规格" 15.5.1. v1.LDAPSyncConfig 15.5.2. v1.StringSource 15.5.3. v1.LDAPQuery 15.5.4. v1.RFC2307Config 15.5.5. v1.ActiveDirectoryConfig 15.5.6. v1.AugmentedActiveDirectoryConfig 法律通告 Settings Close Language: 日本語 简体中文 English Language: 日本語 简体中文 English Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 日本語 简体中文 English Language: 日本語 简体中文 English Format: Multi-page Single-page Format: Multi-page Single-page 3.2. 支持的身份提供程序 您可以配置以下类型的身份提供程序: 用户身份提供程序描述 HTPasswd 配置 htpasswd 身份提供程序,针对使用 htpasswd 生成的文件验证用户名和密码。 Keystone 配置 keystone 身份提供程序,将 OpenShift Container Platform 集群与 Keystone 集成以启用共享身份验证,用配置的 OpenStack Keystone v3 服务器将用户存储到内部数据库中。 LDAP 配置 ldap 身份提供程序,使用简单绑定身份验证来针对 LDAPv3 服务器验证用户名和密码。 基本身份验证(Basic authentication) 配置 basic-authentication 身份提供程序,以便用户使用针对远程身份提供程序验证的凭证来登录 OpenShift Container Platform。基本身份验证是一种通用后端集成机制。 请求标头(Request header) 配置 request-header 身份提供程序,标识请求标头值中的用户,例如 X-Remote-User。它通常与设定请求标头值的身份验证代理一起使用。 Github 或 GitHub Enterprise 配置 github 身份提供程序,针对 GitHub 或 GitHub Enterprise 的 OAuth 身份验证服务器验证用户名和密码。 GitLab 配置 gitlab 身份提供程序,使用 GitLab.com 或任何其他 GitLab 实例作为身份提供程序。 Google 配置 google 身份提供程序,使用 Google 的 OpenID Connect 集成。 OpenID Connect 配置 oidc 身份提供程序,使用授权代码流与 OpenID Connect 身份提供程序集成。 定义了身份提供程序后,可以使用 RBAC 来定义并应用权限。 Previous Next