ホーム
製品
OpenShift Container Platform
4.10
認証および認可
7.2. Keystone アイデンティティープロバイダーの設定

7.2. Keystone アイデンティティープロバイダーの設定

keystone アイデンティティープロバイダーを、OpenShift Container Platform クラスターを Keystone に統合し、ユーザーを内部データベースに保存するように設定された OpenStack Keystone v3 サーバーによる共有認証を有効にするように設定します。この設定により、ユーザーは Keystone 認証情報を使用して OpenShift Container Platform にログインできます。

7.2.1. OpenShift Container Platform のアイデンティティープロバイダーについて
リンクのコピー

デフォルトでは、kubeadmin ユーザーのみがクラスターに存在します。アイデンティティープロバイダーを指定するには、アイデンティティープロバイダーを記述し、これをクラスターに追加するカスタムリソースを作成する必要があります。

注記

/、:、および % を含む OpenShift Container Platform ユーザー名はサポートされません。

7.2.2. Keystone 認証について
リンクのコピー

Keystone は、アイデンティティー、トークン、カタログ、およびポリシーサービスを提供する OpenStack プロジェクトです。

新規 OpenShift Container Platform ユーザーが Keystone ユーザー名または一意の Keystone ID をベースに設定されるように Keystone との統合を設定できます。どちらの方法でも、ユーザーは Keystone ユーザー名およびパスワードを入力してログインします。OpenShift Container Platform ユーザーを Keystone ID に基づいて作成すると、より安全になります。これは、Keystone ユーザーを削除し、そのユーザー名で新しい Keystone ユーザーを作成すると、新しいユーザーが古いユーザーのリソースにアクセスできる可能性があるためです。

7.2.3. シークレットの作成
リンクのコピー

アイデンティティープロバイダーは openshift-config namespace で OpenShift Container Platform Secret オブジェクトを使用して、クライアントシークレット、クライアント証明書およびキーをこれに組み込みます。

手順

以下のコマンドを使用して、キーおよび証明書が含まれる Secret オブジェクトを作成します。

oc create secret tls <secret_name> --key=key.pem --cert=cert.pem -n openshift-config

$ oc create secret tls <secret_name> --key=key.pem --cert=cert.pem -n openshift-config

Copy to Clipboard

Toggle word wrap

ヒント

または、以下の YAML を適用してシークレットを作成できます。

apiVersion: v1
kind: Secret
metadata:
  name: <secret_name>
  namespace: openshift-config
type: kubernetes.io/tls
data:
  tls.crt: <base64_encoded_cert>
  tls.key: <base64_encoded_key>

apiVersion: v1
kind: Secret
metadata:
  name: <secret_name>
  namespace: openshift-config
type: kubernetes.io/tls
data:
  tls.crt: <base64_encoded_cert>
  tls.key: <base64_encoded_key>

Copy to Clipboard

Toggle word wrap

7.2.4. 設定マップの作成
リンクのコピー

アイデンティティープロバイダーは、openshift-config namespace で OpenShift Container Platform ConfigMap オブジェクトを使用し、認証局バンドルをこれに組み込みます。これらは、主にアイデンティティープロバイダーで必要な証明書バンドルを組み込むために使用されます。

手順

以下のコマンドを使用して、認証局が含まれる OpenShift Container Platform ConfigMap オブジェクトを定義します。認証局は ConfigMap オブジェクトの ca.crt キーに保存する必要があります。

oc create configmap ca-config-map --from-file=ca.crt=/path/to/ca -n openshift-config

$ oc create configmap ca-config-map --from-file=ca.crt=/path/to/ca -n openshift-config

Copy to Clipboard

Toggle word wrap

ヒント

または、以下の YAML を適用して設定マップを作成できます。

apiVersion: v1
kind: ConfigMap
metadata:
  name: ca-config-map
  namespace: openshift-config
data:
  ca.crt: |
    <CA_certificate_PEM>

apiVersion: v1
kind: ConfigMap
metadata:
  name: ca-config-map
  namespace: openshift-config
data:
  ca.crt: |
    <CA_certificate_PEM>

Copy to Clipboard

Toggle word wrap

7.2.5. Keystone CR のサンプル
リンクのコピー

以下のカスタムリソース (CR) は、Keystone アイデンティティープロバイダーのパラメーターおよび許可される値を示します。

Keystone CR

apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
  name: cluster
spec:
  identityProviders:
  - name: keystoneidp 
    mappingMethod: claim 
    type: Keystone
    keystone:
      domainName: default 
      url: https://keystone.example.com:5000 
      ca: 
        name: ca-config-map
      tlsClientCert: 
        name: client-cert-secret
      tlsClientKey: 
        name: client-key-secret

apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
  name: cluster
spec:
  identityProviders:
  - name: keystoneidp


    mappingMethod: claim


    type: Keystone
    keystone:
      domainName: default


      url: https://keystone.example.com:5000

ca:


        name: ca-config-map
      tlsClientCert:


        name: client-cert-secret
      tlsClientKey:


        name: client-key-secret

Copy to Clipboard

Toggle word wrap

1: このプロバイダー名は、プロバイダーのユーザー名に接頭辞として付加され、アイデンティティー名が作成されます。
2: このプロバイダーのアイデンティティーと User オブジェクト間にマッピングが確立される方法を制御します。
3: Keystone のドメイン名です。Keystone では、ユーザー名はドメインに固有の名前です。単一ドメインのみがサポートされます。
4: Keystone サーバーへの接続に使用する URL です (必須) 。https を使用する必要があります。
5: オプション: 設定済みの URL のサーバー証明書を検証するために使用する PEM エンコードされた認証局バンドルを含む OpenShift Container Platform ConfigMap オブジェクトへの参照。
6: オプション: 設定済み URL への要求を実行する際に存在させるクライアント証明書を含む OpenShift Container Platform Secret オブジェクトへの参照。
7: クライアント証明書のキーを含む OpenShift Container Platform Secret オブジェクトへの参照。tlsClientCert が指定されている場合には必須になります。

7.2.6. アイデンティティープロバイダーのクラスターへの追加
リンクのコピー

クラスターのインストール後に、アイデンティティープロバイダーをそのクラスターに追加し、ユーザーの認証を実行できるようにします。

前提条件

OpenShift Container Platform クラスターを作成します。
アイデンティティープロバイダーのカスタムリソース (CR) を作成します。
管理者としてログインしている必要があります。

手順

定義された CR を適用します。
```
oc apply -f </path/to/CR>
```
```
$ oc apply -f </path/to/CR>
```
Copy to Clipboard Toggle word wrap
注記
CR が存在しない場合、oc apply は新規 CR を作成し、さらに以下の警告をトリガーする可能性があります。Warning: oc apply should be used on resources created by either oc create --save-config or oc applyこの場合は、この警告を無視しても問題ありません。
アイデンティティープロバイダーのユーザーとしてクラスターにログインし、プロンプトが出されたらパスワードを入力します。
```
oc login -u <username>
```
```
$ oc login -u <username>
```
Copy to Clipboard Toggle word wrap
ユーザーが正常にログインされていることを確認し、ユーザー名を表示します。
```
oc whoami
```
```
$ oc whoami
```
Copy to Clipboard Toggle word wrap

トップに戻る

7.2. Keystone アイデンティティープロバイダーの設定

7.2.1. OpenShift Container Platform のアイデンティティープロバイダーについて
リンクのコピー

7.2.2. Keystone 認証について
リンクのコピー

7.2.3. シークレットの作成
リンクのコピー

7.2.4. 設定マップの作成
リンクのコピー

7.2.5. Keystone CR のサンプル
リンクのコピー

7.2.6. アイデンティティープロバイダーのクラスターへの追加
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

7.2. Keystone アイデンティティープロバイダーの設定

7.2.1. OpenShift Container Platform のアイデンティティープロバイダーについてリンクのコピーリンクがクリップボードにコピーされました!

7.2.2. Keystone 認証についてリンクのコピーリンクがクリップボードにコピーされました!

7.2.3. シークレットの作成リンクのコピーリンクがクリップボードにコピーされました!

7.2.4. 設定マップの作成リンクのコピーリンクがクリップボードにコピーされました!

7.2.5. Keystone CR のサンプルリンクのコピーリンクがクリップボードにコピーされました!

7.2.6. アイデンティティープロバイダーのクラスターへの追加リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

7.2.1. OpenShift Container Platform のアイデンティティープロバイダーについて
リンクのコピー

7.2.2. Keystone 認証について
リンクのコピー

7.2.3. シークレットの作成
リンクのコピー

7.2.4. 設定マップの作成
リンクのコピー

7.2.5. Keystone CR のサンプル
リンクのコピー

7.2.6. アイデンティティープロバイダーのクラスターへの追加
リンクのコピー