1、配置本地用户

之前安装的时候选择了htpasswd验证方式

先创建用户

# htpasswd -c /etc/origin/master/htpasswd admin

授权为集群管理员

# oc adm policy add-cluster-role-to-user cluster-admin admin

登陆到oc

# oc login -u admin

2、配置服务账号

平时的管理可以用本地账号,但是如果用调用k8s接口虽然也可以使用本地账号TOKEN但是很快会过期,这时候就要用服务账号了

创建服务用户

# oc project default
# oc create sa api-admin

授权为集群管理员

# oc adm policy add-cluster-role-to-user cluster-admin system:serviceaccount:default:api-admin

获取服务账号长期TOKEN

# oc get sa/api-admin --template='{{range .secrets}}{{ .name }} {{end}}' | xargs -n  oc get secret --template='{{ if .data.token }}{{ .data.token }}{{end}}' | head -n  | base64 -d -

3、使用ldap验证用户

人多了账号不好管理,就需要接入ldap了

编辑/etc/origin/master/master-config.yaml

加入以下内容

oauthConfig:

  assetPublicURL: https://www.oc.example.cn:8443/console/

  grantConfig:

    method: auto

  identityProviders:

  - challenge: true

    login: true

    mappingMethod: claim

    name: Ldap_auth

    provider:

      apiVersion: v1

      attributes:

        email:

        - mail

        id:

        - dn

        name:

        - cn

        preferredUsername:

        - uid

      bindDN: uid=ldapreader,cn=users,dc=example,dc=com

      bindPassword: 123456

      insecure: true

      kind: LDAPPasswordIdentityProvider

      url: ldap://192.168.1.1:389/cn=users,dc=example,dc=com?uid

重启master以使更改生效

# master-restart api

# master-restart controllers

同步ldap账号

编辑/etc/origin/master/rfc2307_config.yaml

加入以下内容

kind: LDAPSyncConfig

apiVersion: v1

url: ldap://192.168.1.1:389

insecure: true

rfc2307:

    groupsQuery:

        baseDN: "cn=groups,dc=example,dc=com"

        scope: sub

        derefAliases: never

        pageSize: 0

        filter: (objectClass=posixGroup)

    groupUIDAttribute: dn

    groupNameAttributes: [ cn ]

    groupMembershipAttributes: [ member ]

    usersQuery:

        baseDN: "dc=example,dc=com"

        scope: sub

        derefAliases: never

        pageSize: 0

    userUIDAttribute: dn

    userNameAttributes: [ cn ]

    tolerateMemberNotFoundErrors: false

    tolerateMemberOutOfScopeErrors: false

同步命令

# oc adm groups sync --sync-config=/etc/origin/master/rfc2307_config.yaml --confirm

最好加入crontab定时同步

验证用户有没有被同步过来

# oc get group

openshift 容器云从入门到崩溃之四《配置用户验证》的更多相关文章

  1. openshift 容器云从入门到崩溃之八《日志聚合》

    日志可以分为两部分 业务日志 业务日志一般是要长期保留的,以供以后有问题随时查询,elk是现在比较流行的日志方案,但是容器日志最好不要落地所以不能把logstash客户端包在容器里面 可以使用logs ...

  2. openshift 容器云从入门到崩溃之六《Source-to-Image》

    上次说到了怎么在oc上面部署应用而且说道了怎么定义模板部署应用,也许你会奇怪那个我代码打包编译在哪一步,那就要说道oc的s2i流程了 下面是基本s2i流程 1.制作base-image镜像 要使用s2 ...

  3. openshift 容器云从入门到崩溃之五《部署应用》

    1.配置部署模板 配置好用户权限之后就可以部署应用了oc常用的两种部署方式: Deploy Image方式 优点:这种方式是最简单的部署方式,你只需要有一个容器镜像就行了或者公开的docker hub ...

  4. openshift 容器云从入门到崩溃之二《准备环境》

    openshift 从3.9开始就开始支持系统组件在容器里运行了,之前版本都是直接运行在操作系统上,名字也改了叫OKD 目前最新的稳定版本是3.11,所以就安装3.11版本 准备环境: 主机名 系统 ...

  5. openshift 容器云从入门到崩溃之一《容器能解决什么问题》

    容器前时代 说到容器大多数人想到的就是docker,docker的迅速崛起使得使用容器的门槛大大降低了,我第一次接触docker还是14年,那时候作为一名运维部署应用还在大量使用虚拟化,从vmware ...

  6. openshift 容器云从入门到崩溃之九《容器监控-报警》

    容器状态监控 主要是监控POD的状态包括重启.不健康等等这些k8s api 状态本身会报出来,在配合zabbix报警 导入zabbix模板关联上oc master主机 <?xml version ...

  7. openshift 容器云从入门到崩溃之七《数据持久化》

    数据持久化常用的有两种: hostPath 挂载容器宿主机的本地文件夹,直接修改pod的配置 volumes: - hostPath: path: /data/logging-es type: '' ...

  8. openshift 容器云从入门到崩溃之三《安装openshift》

    准备好环境,在安装之前请先了解openshift提供的ansible有大量的安装选项 文档地址:https://docs.okd.io/latest/install/configuring_inven ...

  9. openshift 容器云从入门到崩溃之十《容器监控-数据展示》

    POD资源历史曲线(CPU.内存.网络) 监控方案heapster+hawkular-metrics+hawkular-cassandra heapster负责收集数据 hawkular-cassan ...

随机推荐

  1. VBA二次学习笔记(3)——批量合并单元格

    说明(2018-9-16 22:17:49): 1. 昨天运动会,100米八个人跑了第五,400米五个人跑了第三,得了个榨汁机.终于结束了哈哈哈!之前一个星期紧张的天天拉肚子,真是没出息..不过养成了 ...

  2. Error: Could not find gradle wrapper within Android SDK. Might need to update your Android SDK - Android

    在Windows7上运行 “cordova build android” 报错,如下: C:\test\hello> cordova build android ANDROID_HOME=C:\ ...

  3. nginx 的一些优化

    一般来说 nginx 配置文件中对优化比较有作用的为以下几项: worker_processes 8; nginx 进程数,建议按照 cpu 数目来指定,一般为它的倍数. worker_cpu_aff ...

  4. maven项目打包额外lib目录

    maven项目依赖了几个额外的jar包一直都无法打进最终jar,不知道哪里出了问题.一直对这块不甚清楚,就大概梳理一下 默认打包方式: maven项目下,默认编译目录为 src/main/java和s ...

  5. C# 耗时统计

    Stopwatch sw = new Stopwatch(); sw.Restart(); var a = redis.ListRange<UserModel>(key); sw.Stop ...

  6. 当我们直接打印定义的对象的时候,隐含的是打印toString()的返回值。

      以下介绍的三种方法属于Object: (1)  finalize方法:当一个对象被垃圾回收的时候调用的方法. (2)  toString():是利用字符串来表示对象. 当我们直接打印定义的对象的时 ...

  7. .net读取Excel转datatable、.net读取的Excel存在合并单元格并且转成datatable

    项目中经常会遇到Excel导入数据,Excel的模板会可能是存在合并单元格的,模板如下图所示 读取时需要填充合并单元格的值,转成datatable单元格值时,填充合并单元格的值,如下图所示: 合并单元 ...

  8. Visual Studio 2015编译wxWidgets

    宫指导说,换帅如换刀 程序员的编译器一换,基本套路必须都重练几次 使用wxWidgets并不难,但不能使用现有的库和工程配置文件,细节就必须理清楚 获取wxWidgets 官方的下载页面,下7z或zi ...

  9. No Ads for Blogs

    最近浏览器出问题了还是博客园登录的问题. 每次进入自己博客都要输入密码. 然后进入某一篇博文查看时,底部总会有些垃圾广告. 怎么办呢. 好吧,真抱歉,为了营造良好的阅读环境,只好给你屏蔽掉了. 其实也 ...

  10. M - COURSES

    Consider a group of N students and P courses. Each student visits zero, one or more than one courses ...