5.4. 将未经身份验证的组添加到集群角色中
作为集群管理员,您可以通过创建集群角色绑定将未经身份验证的用户添加到 OpenShift Container Platform 中的以下集群角色中。未经身份验证的用户无法访问非公共集群角色。这只应在需要时在特定用例中完成。
您可以将未经身份验证的用户添加到以下集群角色中:
-
system:scope-impersonation
-
system:webhook
-
system:oauth-token-deleter
-
self-access-reviewer
重要
在修改未经身份验证的访问时,始终验证符合您机构的安全标准。
先决条件
-
您可以使用具有
cluster-admin
角色的用户访问集群。 -
已安装 OpenShift CLI(
oc
)。
流程
创建名为
add-<cluster_role>-unauth.yaml
的 YAML 文件,并添加以下内容:apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: annotations: rbac.authorization.kubernetes.io/autoupdate: "true" name: <cluster_role>access-unauthenticated roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: <cluster_role> subjects: - apiGroup: rbac.authorization.k8s.io kind: Group name: system:unauthenticated
运行以下命令来应用配置:
$ oc apply -f add-<cluster_role>.yaml