OpenShift 文档正在迁移,很快将只能在 docs.redhat.com(所有 Red Hat 产品文档的中心)访问。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

启用PKI身份验证

如果您使用企业证书颁发机构 (CA) 进行身份验证,您可以配置 Red Hat Advanced Cluster Security for Kubernetes (RHACS) 以使用用户的个人证书进行身份验证。

配置 PKI 身份验证后,用户和 API 客户端可以使用其个人证书登录。没有证书的用户仍然可以使用其他身份验证选项,包括 API 令牌、本地管理员密码或其他身份验证提供程序。PKI 身份验证在与 Web UI、gRPC 和 REST API 相同的端口号上可用。

配置 PKI 身份验证时,默认情况下,Red Hat Advanced Cluster Security for Kubernetes 使用相同的端口用于 PKI、Web UI、gRPC、其他单点登录 (SSO) 提供程序和 REST API。您还可以使用 YAML 配置文件配置和公开端点,为 PKI 身份验证配置单独的端口。

使用 RHACS 门户配置 PKI 身份验证

您可以使用 RHACS 门户配置公钥基础设施 (PKI) 身份验证。

步骤

  1. 在 RHACS 门户中,转到**平台配置** → **访问控制**。

  2. 单击**创建身份验证提供程序**,然后从下拉列表中选择**用户证书**。

  3. 在**名称**字段中,为该身份验证提供程序指定一个名称。

  4. 在**CA 证书(PEM)**字段中,粘贴您的根 CA 证书(PEM 格式)。

  5. 为使用 PKI 身份验证访问 RHACS 的用户分配**最低访问角色**。用户必须拥有授予此角色或具有更高权限的角色的权限才能登录 RHACS。

    出于安全考虑,Red Hat 建议您在完成设置期间先将最小访问角色设置为。稍后,您可以返回到访问控制页面,根据身份提供商的用户元数据设置更细致的访问规则。

  6. 要为访问 RHACS 的用户和组添加访问规则,请单击规则部分中的添加新规则。例如,要将管理员角色授予名为administrator的用户,您可以使用以下键值对创建访问规则。

    名称

    administrator

    角色

    管理员

  7. 单击保存

使用roxctl CLI 配置 PKI 身份验证

您可以使用roxctl CLI 配置 PKI 身份验证。

步骤

  • 运行以下命令:

    $ roxctl -e <hostname>:<port_number> central userpki create -c <ca_certificate_file> -r <default_role_name> <provider_name>

更新身份验证密钥和证书

您可以使用 RHACS 门户更新身份验证密钥和证书。

步骤

  1. 创建一个新的身份验证提供程序。

  2. 将角色映射从旧的身份验证提供程序复制到新的身份验证提供程序。

  3. 重命名或删除具有旧根 CA 密钥的旧身份验证提供程序。

使用客户端证书登录

配置 PKI 身份验证后,用户会在 RHACS 门户登录页面看到证书提示。只有当用户系统上安装了已配置的根 CA 信任的客户端证书时,才会显示此提示。

请使用本节中描述的步骤使用客户端证书登录。

步骤

  1. 打开 RHACS 门户。

  2. 在浏览器提示中选择证书。

  3. 在登录页面上,选择身份验证提供程序名称选项以使用证书登录。如果您不想使用证书登录,也可以使用管理员密码或其他登录方法登录。

一旦您使用客户端证书登录到 RHACS 门户,除非您重新启动浏览器,否则您无法使用其他证书登录。