11장. 사용자를 위한 준비
OpenShift Container Platform을 설치한 후에는 사용자 준비 단계를 포함하여 요구 사항에 맞게 클러스터를 추가로 확장하고 사용자 정의할 수 있습니다.
11.1. ID 공급자 구성 이해
OpenShift Container Platform 컨트롤 플레인에는 내장 OAuth 서버가 포함되어 있습니다. 개발자와 관리자는 OAuth 액세스 토큰을 가져와 API 인증을 수행합니다.
관리자는 클러스터를 설치한 후 ID 공급자를 지정하도록 OAuth를 구성할 수 있습니다.
11.1.1. OpenShift Container Platform의 ID 공급자 정보
기본적으로는 kubeadmin
사용자만 클러스터에 있습니다. ID 공급자를 지정하려면 해당 ID 공급자를 설명하는 CR(사용자 정의 리소스)을 생성하여 클러스터에 추가해야 합니다.
/
, :
, %
를 포함하는 OpenShift Container Platform 사용자 이름은 지원되지 않습니다.
11.1.2. 지원되는 ID 공급자
다음 유형의 ID 공급자를 구성할 수 있습니다.
ID 공급자 | 설명 |
---|---|
| |
내부 데이터베이스에 사용자를 저장하는 OpenStack Keystone v3 서버와의 공유 인증을 지원하기 위해 OpenShift Container Platform 클러스터를 Keystone과 통합하도록 | |
단순 바인드 인증을 사용하여 LDAPv3 서버에 대해 사용자 이름 및 암호의 유효성을 확인하도록 | |
사용자가 원격 ID 공급자에 대해 검증된 자격 증명을 사용하여 OpenShift Container Platform에 로그인할 수 있도록 | |
| |
GitHub 또는 GitHub Enterprise의 OAuth 인증 서버에 대해 사용자 이름 및 암호의 유효성을 확인하도록 | |
GitLab.com 또는 기타 GitLab 인스턴스를 ID 공급자로 사용하도록 | |
Google의 OpenID Connect 통합을 사용하여 | |
인증 코드 Flow를 사용하여 OpenID Connect ID 공급자와 통합하도록 |
ID 공급자를 정의한 후 RBAC를 사용하여 권한을 정의하고 적용할 수 있습니다.
11.1.3. ID 공급자 매개변수
다음 매개변수는 모든 ID 공급자에 공통입니다.
매개변수 | 설명 |
---|---|
| 공급자 사용자 이름에 접두어로 공급자 이름을 지정하여 ID 이름을 만듭니다. |
| 사용자가 로그인할 때 새 ID를 사용자에게 매핑하는 방법을 정의합니다. 다음 값 중 하나를 입력하십시오.
|
ID 공급자를 추가하거나 변경할 때 mappingMethod
매개변수를 add
로 설정하면 새 공급자의 ID를 기존 사용자에게 매핑할 수 있습니다.
11.1.4. ID 공급자 CR 샘플
다음 CR(사용자 정의 리소스)에서는 ID 공급자를 구성하는 데 사용되는 매개변수 및 기본값을 보여줍니다. 이 예에서는 htpasswd ID 공급자를 사용합니다.
ID 공급자 CR 샘플
apiVersion: config.openshift.io/v1 kind: OAuth metadata: name: cluster spec: identityProviders: - name: my_identity_provider 1 mappingMethod: claim 2 type: HTPasswd htpasswd: fileData: name: htpass-secret 3