红帽全球峰会This documentation is for a release that is no longer maintained.
You can select a different version or view all RHACS documentation.15.5. 启用 PKI 身份验证
如果使用企业证书颁发机构(CA)进行身份验证,您可以配置 Red Hat Advanced Cluster Security for Kubernetes (RHACS)来使用其个人证书来验证用户。
配置 PKI 身份验证后,用户和 API 客户端可以使用其个人证书进行登录。没有证书的用户仍可使用其他身份验证选项,包括 API 令牌、本地管理员密码或其他身份验证提供程序。PKI 身份验证在与 Web UI、gRPC 和 REST API 相同的端口号上可用。
当您配置 PKI 身份验证时,Red Hat Advanced Cluster Security for Kubernetes 将相同的端口用于 PKI、Web UI、gRPC、其他单点登录(SSO)供应商和 REST API。您还可以使用 YAML 配置文件配置和公开端点,为 PKI 身份验证配置单独的端口。
15.5.1. 使用 RHACS 门户配置 PKI 身份验证
您可以使用 RHACS 门户配置公共密钥基础架构(PKI)身份验证。
流程
-
在 RHACS 门户网站中,导航到 Platform Configuration
Access Control。 - 点 Create Auth Provider,从下拉菜单中选择 User Certificates。
- 在 Name 字段中,为此验证供应商指定名称。
- 在 CA 证书(PEM) 字段中,以 PEM 格式粘贴您的 root CA 证书。
为使用 PKI 身份验证访问 RHACS 的用户分配 最小访问权限角色。用户必须具有授予此角色的权限或具有更高权限才能登录到 RHACS 的权限。
提示为安全起见,红帽建议在完成设置时将 Minimum access role 设置为 None。之后,您可以返回到 Access Control 页面,根据身份提供程序中的用户元数据设置更定制的访问规则。
要为访问 RHACS 的用户和组添加访问规则,点 Rules 部分中的 Add new rule。例如,要为名为
administrator的用户提供 Admin 角色,您可以使用以下键值对创建访问规则:Expand 键
值
名称
administrator
角色
Admin
- 点 Save。
15.5.2. 使用 roxctl CLI 配置 PKI 身份验证
您可以使用 roxctl CLI 配置 PKI 身份验证。
流程
运行以下命令:
roxctl -e <hostname>:<port_number> central userpki create -c <ca_certificate_file> -r <default_role_name> <provider_name>
$ roxctl -e <hostname>:<port_number> central userpki create -c <ca_certificate_file> -r <default_role_name> <provider_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
15.5.3. 更新验证密钥和证书
您可以使用 RHACS 门户更新您的身份验证密钥和证书。
流程
- 创建新的身份验证提供程序。
- 将角色从旧身份验证供应商复制到新的身份验证提供程序。
- 使用旧 root CA 密钥重命名或删除旧的身份验证供应商。
15.5.4. 使用客户端证书登录
配置 PKI 身份验证后,用户在 RHACS 门户登录页面上看到证书提示。提示仅显示在用户的系统上安装了由配置的 root CA 信任的客户端证书。
使用本节中介绍的步骤使用客户端证书登录。
流程
- 打开 RHACS 门户。
- 在浏览器提示符处选择证书。
- 在登录页面上,选择用于使用证书登录的身份验证提供程序名称选项。如果您不想使用证书登录,也可以使用管理员密码或其他登录方法登录。
使用客户端证书登录 RHACS 门户后,除非您重新启动浏览器,否则就无法使用其他证书登录。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}