第 11 章 准备供用户使用
安装 OpenShift Container Platform 后,您可以按照您的要求进一步扩展和自定义集群,包括为用户准备步骤。
11.1. 了解身份提供程序配置
OpenShift Container Platform control plane 包含内置的 OAuth 服务器。开发人员和管理员获取 OAuth 访问令牌,以完成自身的 API 身份验证。
作为管理员,您可以在安装集群后通过配置 OAuth 来指定身份提供程序。
11.1.1. 关于 OpenShift Container Platform 中的身份提供程序
默认情况下,集群中只有 kubeadmin
用户。要指定身份提供程序,您必须创建一个自定义资源(CR) 来描述该身份提供程序并把它添加到集群中。
OpenShift Container Platform 用户名不能包括 /
、:
和 %
。
11.1.2. 支持的身份提供程序
您可以配置以下类型的身份提供程序:
用户身份提供程序 | 描述 |
---|---|
配置 | |
配置 | |
配置 | |
配置 | |
配置 | |
配置 | |
配置 | |
配置 | |
配置 |
定义了身份提供程序后,您可以使用 RBAC 定义并应用权限。
11.1.3. 身份提供程序参数
以下是所有身份提供程序通用的参数:
参数 | 描述 |
---|---|
| 此提供程序名称作为前缀放在提供程序用户名前,以此组成身份名称。 |
| 定义在用户登录时如何将新身份映射到用户。输入以下值之一:
|
在添加或更改身份提供程序时,您可以通过把 mappingMethod
参数设置为 add
,将新提供程序中的身份映射到现有的用户。
11.1.4. 身份提供程序 CR 示例
以下自定义资源 (CR) 显示用来配置身份提供程序的参数和默认值。本例使用 htpasswd 身份提供程序。
身份提供程序 CR 示例
apiVersion: config.openshift.io/v1 kind: OAuth metadata: name: cluster spec: identityProviders: - name: my_identity_provider 1 mappingMethod: claim 2 type: HTPasswd htpasswd: fileData: name: htpass-secret 3