$ oc create configmap ca-config-map --from-file=ca.crt=/path/to/ca -n openshift-config- 文档
- OpenShift Container Platform
- 身份验证和授权
- 配置身份提供程序
- 配置请求头身份提供程序 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上安装具有自定义设置的集群
- 在 GCP 上安装具有网络自定义设置的集群
- 在受限网络中在 GCP 上安装集群
- 在现有 VPC 中在 GCP 上安装集群
- 在共享 VPC 中在 GCP 上安装集群
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板在 GCP 上的共享 VPC 中安装集群
- 在受限网络中在 GCP 上使用用户提供的基础设施安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序安装本地集群
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序提供的集群
- 在 IBM Cloud(经典版)上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 在 OpenStack 上安装具有自定义设置的集群
- 在您自己的基础设施上在 OpenStack 上安装集群
- 在受限网络中在 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 管理具有多架构计算机的集群
- 使用多架构调整运算符管理多架构集群上的工作负载
- 多架构调整运算符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像仓库
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为断开连接的集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和说明
- 合规性运算符
- 文件完整性运算符
- 安全配置文件操作符
- NBDE Tang 服务器操作符
- 适用于 Red Hat OpenShift 的 cert-manager 操作符
- 适用于 Red Hat OpenShift 的 cert-manager 操作符概述
- 适用于 Red Hat OpenShift 的 cert-manager 操作符发行说明
- 安装适用于 Red Hat OpenShift 的 cert-manager 操作符
- 配置出站代理
- 使用 cert-manager 操作符 API 字段自定义 cert-manager
- 验证适用于 Red Hat OpenShift 的 cert-manager 操作符
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用适用于 Red Hat OpenShift 的 cert-manager 操作符保护路由
- 监控适用于 Red Hat OpenShift 的 cert-manager 操作符
- 为 cert-manager 和适用于 Red Hat OpenShift 的 cert-manager 操作符配置日志级别
- 卸载适用于 Red Hat OpenShift 的 cert-manager 操作符
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 网络绑定磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表盘
- 网络操作符
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精确时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标关联到网络连接
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联临时卷
- 共享资源 CSI 驱动程序操作员
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 非优雅节点关闭后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作员
- AWS Elastic File Service CSI 驱动程序操作员
- Azure 磁盘 CSI 驱动程序操作员
- Azure 文件 CSI 驱动程序操作员
- Azure Stack Hub CSI 驱动程序操作员
- GCP PD CSI 驱动程序操作员
- GCP Filestore CSI 驱动程序操作员
- IBM 云块存储 (VPC) CSI 驱动程序操作员
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作员
- OpenStack Cinder CSI 驱动程序操作员
- OpenStack Manila CSI 驱动程序操作员
- Secrets Store CSI 驱动程序操作员
- CIFS/SMB CSI 驱动程序操作员
- VMware vSphere CSI 驱动程序操作员
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作员
- 操作符概述
- 理解操作符
- 用户任务
- 管理员任务
- 开发操作符
- 集群操作符参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器操作符自动缩放 Pod
- 控制 Pod 放置到节点上(调度)
- 使用 Job 和 DaemonSet
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表板
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观察性
- 可扩展性和性能
- 边缘计算
- 网络远端边缘的挑战
- 准备用于 ZTP 的中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 针对 vDU 应用程序工作负载推荐的单节点 OpenShift 集群配置
- 验证 vDU 应用程序工作负载的集群调整
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的第 2 天运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到 4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动缩放 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- 镜像流映射 [image.openshift.io/v1]
- 镜像流 [image.openshift.io/v1]
- 镜像流标签 [image.openshift.io/v1]
- 镜像标签 [image.openshift.io/v1]
- 密钥列表 [image.openshift.io/v1]
- 机器API
- 关于机器API
- 容器运行时配置 [machineconfiguration.openshift.io/v1]
- 控制器配置 [machineconfiguration.openshift.io/v1]
- 控制平面机器集 [machine.openshift.io/v1]
- Kubelet配置 [machineconfiguration.openshift.io/v1]
- 机器配置 [machineconfiguration.openshift.io/v1]
- 机器配置池 [machineconfiguration.openshift.io/v1]
- 机器健康检查 [machine.openshift.io/v1beta1]
- 机器 [machine.openshift.io/v1beta1]
- 机器集 [machine.openshift.io/v1beta1]
- 元数据API
- 监控API
- 关于监控API
- Alertmanager [monitoring.coreos.com/v1]
- Alertmanager配置 [monitoring.coreos.com/v1beta1]
- 告警重标记配置 [monitoring.openshift.io/v1]
- 告警规则 [monitoring.openshift.io/v1]
- Pod监控 [monitoring.coreos.com/v1]
- 探针 [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- Prometheus规则 [monitoring.coreos.com/v1]
- 服务监控 [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- 节点指标 [metrics.k8s.io/v1beta1]
- Pod指标 [metrics.k8s.io/v1beta1]
- 网络API
- 关于网络API
- 管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 基于策略的管理员外部路由 [k8s.ovn.org/v1]
- 基线管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 云私有IP配置 [cloud.network.openshift.io/v1]
- 出站防火墙 [k8s.ovn.org/v1]
- 出站IP [k8s.ovn.org/v1]
- 出站QoS [k8s.ovn.org/v1]
- 出站服务 [k8s.ovn.org/v1]
- 端点 [undefined/v1]
- 端点切片 [discovery.k8s.io/v1]
- 出站路由器 [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- Ingress类 [networking.k8s.io/v1]
- IP池 [whereabouts.cni.cncf.io/v1alpha1]
- 多网络策略 [k8s.cni.cncf.io/v1beta1]
- 网络附加定义 [k8s.cni.cncf.io/v1]
- 网络策略 [networking.k8s.io/v1]
- 重叠范围IP预留 [whereabouts.cni.cncf.io/v1alpha1]
- Pod网络连接性检查 [controlplane.operator.openshift.io/v1alpha1]
- 路由 [route.openshift.io/v1]
- 服务 [undefined/v1]
- 节点API
- OAuth API
- Operator API
- 关于Operator API
- 认证 [operator.openshift.io/v1]
- 云凭据 [operator.openshift.io/v1]
- 集群CSIDriver [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSI快照控制器 [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容来源策略 [operator.openshift.io/v1alpha1]
- 镜像清理器 [imageregistry.operator.openshift.io/v1]
- Ingress控制器 [operator.openshift.io/v1]
- Insights Operator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- Kube存储版本迁移器 [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- Operator PKI [network.operator.openshift.io/v1]
- 服务CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub API
- 关于OperatorHub API
- 目录源 [operators.coreos.com/v1alpha1]
- 集群服务版本 [operators.coreos.com/v1alpha1]
- 安装计划 [operators.coreos.com/v1alpha1]
- OLM配置 [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- Operator条件 [operators.coreos.com/v2]
- Operator组 [operators.coreos.com/v1]
- 包清单 [packages.operators.coreos.com/v1]
- 订阅 [operators.coreos.com/v1alpha1]
- 策略API
- 项目API
- 供应API
- 关于供应API
- BMCEvent订阅 [metal3.io/v1alpha1]
- 裸金属主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3修复 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3修复模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 供应 [metal3.io/v1alpha1]
- RBAC API
- 角色API
- 调度和配额API
- 安全API
- 关于安全API
- 证书签名请求 [certificates.k8s.io/v1]
- 凭据请求 [cloudcredential.openshift.io/v1]
- Pod安全策略审查 [security.openshift.io/v1]
- Pod安全策略自身主体审查 [security.openshift.io/v1]
- Pod安全策略主体审查 [security.openshift.io/v1]
- 范围分配 [security.openshift.io/v1]
- 密钥 [undefined/v1]
- 安全上下文约束 [security.openshift.io/v1]
- 服务账户 [undefined/v1]
- 存储API
- 关于存储API
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSI存储容量 [storage.k8s.io/v1]
- 持久卷 [undefined/v1]
- 持久卷声明 [undefined/v1]
- 存储类 [storage.k8s.io/v1]
- 存储状态 [migration.k8s.io/v1alpha1]
- 存储版本迁移 [migration.k8s.io/v1alpha1]
- 卷附加 [storage.k8s.io/v1]
- 卷快照 [snapshot.storage.k8s.io/v1]
- 卷快照类 [snapshot.storage.k8s.io/v1]
- 卷快照内容 [snapshot.storage.k8s.io/v1]
- 模板API
- 用户和组 API
- 工作负载 API
- 关于工作负载 API
- BuildConfig [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- CronJob [batch/v1]
- DaemonSet [apps/v1]
- Deployment [apps/v1]
- DeploymentConfig [apps.openshift.io/v1]
- DeploymentConfigRollback [apps.openshift.io/v1]
- Deployment 日志 [apps.openshift.io/v1]
- Deployment请求 [apps.openshift.io/v1]
- Job [batch/v1]
- Pod [undefined/v1]
- ReplicationController [undefined/v1]
- ReplicaSet [apps/v1]
- StatefulSet [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 了解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注入
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联邦
- 扩展
- OpenShift 服务网格控制台插件
- 适用于 2.1 的 3scale WebAssembly
- 适用于 2.0 的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
配置请求头身份提供程序
配置request-header身份提供程序以从请求头值(例如X-Remote-User)识别用户。它通常与设置请求头值的认证代理一起使用。
关于 OpenShift Container Platform 中的身份提供程序
默认情况下,集群中只存在kubeadmin用户。要指定身份提供程序,必须创建一个描述该身份提供程序的自定义资源 (CR),并将其添加到集群中。
|
OpenShift Container Platform 用户名不支持包含 |
关于请求头身份验证
请求头身份提供程序从请求头值(例如X-Remote-User)识别用户。它通常与设置请求头值的认证代理一起使用。请求头身份提供程序不能与其他使用直接密码登录的身份提供程序(例如 htpasswd、Keystone、LDAP 或基本身份验证)结合使用。
|
您还可以将请求头身份提供程序用于高级配置,例如社区支持的SAML 身份验证。请注意,Red Hat 不支持此解决方案。 |
为了让用户使用此身份提供程序进行身份验证,他们必须通过认证代理访问https://<namespace_route>/oauth/authorize(以及子路径)。为此,请将 OAuth 服务器配置为将未经身份验证的 OAuth 令牌请求重定向到代理到https://<namespace_route>/oauth/authorize的代理端点。
要重定向期望基于浏览器的登录流程的客户端的未经身份验证的请求
-
将
provider.loginURL参数设置为将对交互式客户端进行身份验证,然后将请求代理到https://<namespace_route>/oauth/authorize的认证代理 URL。
要重定向期望WWW-Authenticate质询的客户端的未经身份验证的请求
-
将
provider.challengeURL参数设置为将对期望WWW-Authenticate质询的客户端进行身份验证,然后将请求代理到https://<namespace_route>/oauth/authorize的认证代理 URL。
provider.challengeURL和provider.loginURL参数可以在 URL 的查询部分包含以下标记
-
${url}将替换为当前 URL,并进行转义以确保在查询参数中安全。例如:
https://www.example.com/sso-login?then=${url} -
${query}将替换为当前查询字符串,不进行转义。例如:
https://www.example.com/auth-proxy/oauth/authorize?${query}
|
从 OpenShift Container Platform 4.1 开始,您的代理必须支持双向 TLS。 |
Microsoft Windows 上的 SSPI 连接支持
|
在 Microsoft Windows 上使用 SSPI 连接支持仅是技术预览功能。技术预览功能不受 Red Hat 生产服务级别协议 (SLA) 的支持,并且可能功能不完整。Red Hat 不建议在生产环境中使用它们。这些功能可让您抢先体验即将推出的产品功能,使客户能够在开发过程中测试功能并提供反馈。 有关 Red Hat 技术预览功能的支持范围的更多信息,请参见技术预览功能支持范围。 |
OpenShift CLI (oc) 支持安全支持提供程序接口 (SSPI),以允许在 Microsft Windows 上进行 SSO 流程。如果您将请求头身份提供程序与支持 GSSAPI 的代理一起使用以将 Active Directory 服务器连接到 OpenShift Container Platform,则用户可以通过从加入域的 Microsoft Windows 计算机使用oc命令行界面自动向 OpenShift Container Platform 进行身份验证。
创建配置映射
身份提供程序使用openshift-config命名空间中的 OpenShift Container Platform ConfigMap对象来包含证书颁发机构捆绑包。这些主要用于包含身份提供程序所需的证书捆绑包。
步骤
-
使用以下命令定义包含证书颁发机构的 OpenShift Container Platform
ConfigMap对象。证书颁发机构必须存储在ConfigMap对象的ca.crt密钥中。或者,您可以应用以下 YAML 来创建配置映射
apiVersion: v1 kind: ConfigMap metadata: name: ca-config-map namespace: openshift-config data: ca.crt: | <CA_certificate_PEM>
请求头 CR 示例
以下自定义资源 (CR) 显示了请求头身份提供程序的参数和可接受的值。
请求头 CR
apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
name: cluster
spec:
identityProviders:
- name: requestheaderidp (1)
mappingMethod: claim (2)
type: RequestHeader
requestHeader:
challengeURL: "https://www.example.com/challenging-proxy/oauth/authorize?${query}" (3)
loginURL: "https://www.example.com/login-proxy/oauth/authorize?${query}" (4)
ca: (5)
name: ca-config-map
clientCommonNames: (6)
- my-auth-proxy
headers: (7)
- X-Remote-User
- SSO-User
emailHeaders: (8)
- X-Remote-User-Email
nameHeaders: (9)
- X-Remote-User-Display-Name
preferredUsernameHeaders: (10)
- X-Remote-User-Login| 1 | 此提供程序名称作为前缀添加到请求头中的用户名中,以形成身份名称。 | ||
| 2 | 控制在此提供程序的身份和User对象之间如何建立映射。 |
||
| 3 | 可选:将未经身份验证的/oauth/authorize请求重定向到的 URL,该 URL 将对基于浏览器的客户端进行身份验证,然后将其请求代理到https://<namespace_route>/oauth/authorize。代理到https://<namespace_route>/oauth/authorize的 URL 必须以/authorize结尾(不带尾部斜杠),并且还必须代理子路径,才能使 OAuth 批准流程正常工作。${url} 将替换为当前 URL,并进行转义以确保在查询参数中安全。${query} 将替换为当前查询字符串。如果未定义此属性,则必须使用loginURL。 |
||
| 4 | 可选:将未经身份验证的/oauth/authorize请求重定向到的 URL,该 URL 将对期望WWW-Authenticate质询的客户端进行身份验证,然后将其代理到https://<namespace_route>/oauth/authorize。${url} 将替换为当前 URL,并进行转义以确保在查询参数中安全。${query} 将替换为当前查询字符串。如果未定义此属性,则必须使用challengeURL。 |
||
| 5 | 包含 PEM 编码证书捆绑包的 OpenShift Container Platform ConfigMap对象的引用。用作验证远程服务器提供的 TLS 证书的信任锚。
|
||
| 6 | 可选:常用名 (cn) 列表。如果设置,则必须在检查请求头以查找用户名之前呈现具有指定列表中的常用名 (cn) 的有效客户端证书。如果为空,则允许任何常用名。只能与ca结合使用。 |
||
| 7 | 按顺序检查用户身份的标头名称。包含值的第一个标头将用作身份。必需,不区分大小写。 | ||
| 8 | 按顺序检查电子邮件地址的标头名称。包含值的第一个标头将用作电子邮件地址。可选,不区分大小写。 | ||
| 9 | 按顺序检查显示名称的标头名称。包含值的第一个标头将用作显示名称。可选,不区分大小写。 | ||
| 10 | 按顺序检查首选用户名(如果与从headers中指定的标头确定的不可变身份不同)的标头名称。在预配时,包含值的第一个标头将用作首选用户名。可选,不区分大小写。 |
其他资源
-
有关参数(例如
mappingMethod)的信息,这些参数对所有身份提供程序都是通用的,请参见身份提供程序参数。
将身份提供程序添加到您的集群
安装集群后,向其中添加身份提供程序,以便您的用户可以进行身份验证。
先决条件
-
创建一个 OpenShift Container Platform 集群。
-
为您的身份提供程序创建自定义资源 (CR)。
-
您必须以管理员身份登录。
步骤
-
应用已定义的 CR
$ oc apply -f </path/to/CR>如果 CR 不存在,
oc apply将创建一个新的 CR,并可能触发以下警告:Warning: oc apply should be used on resources created by either oc create --save-config or oc apply。在这种情况下,您可以安全地忽略此警告。 -
使用您的身份提供商的用户身份登录集群,并在提示时输入密码。
$ oc login -u <username> -
确认用户已成功登录并显示用户名。
$ oc whoami
使用请求头的 Apache 身份验证配置示例
此示例使用请求头身份提供程序配置 OpenShift Container Platform 的 Apache 身份验证代理。
自定义代理配置
使用mod_auth_gssapi模块是使用请求头身份提供程序配置 Apache 身份验证代理的一种常用方法;但是,这不是必需的。如果满足以下要求,则可以轻松使用其他代理。
-
阻止来自客户端请求的
X-Remote-User标头,以防止欺骗。 -
在
RequestHeaderIdentityProvider配置中强制执行客户端证书身份验证。 -
要求使用挑战流程的所有身份验证请求都设置
X-Csrf-Token标头。 -
确保仅代理
/oauth/authorize端点及其子路径;必须重写重定向,以允许后端服务器将客户端发送到正确的位置。 -
代理到
https://<namespace_route>/oauth/authorize的 URL 必须以/authorize结尾,且不包含尾部斜杠。例如,https://proxy.example.com/login-proxy/authorize?…必须代理到https://<namespace_route>/oauth/authorize?…。 -
代理到
https://<namespace_route>/oauth/authorize的 URL 的子路径必须代理到https://<namespace_route>/oauth/authorize的子路径。例如,https://proxy.example.com/login-proxy/authorize/approve?…必须代理到https://<namespace_route>/oauth/authorize/approve?…。
|
|
使用请求头配置 Apache 身份验证
此示例使用mod_auth_gssapi模块使用请求头身份提供程序配置 Apache 身份验证代理。
先决条件
-
从可选频道获取
mod_auth_gssapi模块。您的本地机器上必须安装以下软件包:-
httpd -
mod_ssl -
mod_session -
apr-util-openssl -
mod_auth_gssapi
-
-
生成一个 CA 用于验证提交受信任标头的请求。定义包含 CA 的 OpenShift Container Platform
ConfigMap对象。这可以通过运行以下命令完成:$ oc create configmap ca-config-map --from-file=ca.crt=/path/to/ca -n openshift-config (1)1 CA 必须存储在 ConfigMap对象的ca.crt密钥中。或者,您可以应用以下 YAML 来创建配置映射
apiVersion: v1 kind: ConfigMap metadata: name: ca-config-map namespace: openshift-config data: ca.crt: | <CA_certificate_PEM> -
为代理生成客户端证书。您可以使用任何 x509 证书工具生成此证书。客户端证书必须由您为验证提交受信任标头的请求生成的 CA 签名。
-
为您的身份提供程序创建自定义资源 (CR)。
步骤
此代理使用客户端证书连接到 OAuth 服务器,该服务器配置为信任X-Remote-User标头。
-
为 Apache 配置创建证书。您指定为
SSLProxyMachineCertificateFile参数值的证书是用于将代理身份验证到服务器的代理的客户端证书。它必须使用TLS Web Client Authentication作为扩展密钥类型。 -
创建 Apache 配置。使用以下模板提供您所需的设置和值:
仔细检查模板并自定义其内容以适应您的环境。
LoadModule request_module modules/mod_request.so LoadModule auth_gssapi_module modules/mod_auth_gssapi.so # Some Apache configurations might require these modules. # LoadModule auth_form_module modules/mod_auth_form.so # LoadModule session_module modules/mod_session.so # Nothing needs to be served over HTTP. This virtual host simply redirects to # HTTPS. <VirtualHost *:80> DocumentRoot /var/www/html RewriteEngine On RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R,L] </VirtualHost> <VirtualHost *:443> # This needs to match the certificates you generated. See the CN and X509v3 # Subject Alternative Name in the output of: # openssl x509 -text -in /etc/pki/tls/certs/localhost.crt ServerName www.example.com DocumentRoot /var/www/html SSLEngine on SSLCertificateFile /etc/pki/tls/certs/localhost.crt SSLCertificateKeyFile /etc/pki/tls/private/localhost.key SSLCACertificateFile /etc/pki/CA/certs/ca.crt SSLProxyEngine on SSLProxyCACertificateFile /etc/pki/CA/certs/ca.crt # It is critical to enforce client certificates. Otherwise, requests can # spoof the X-Remote-User header by accessing the /oauth/authorize endpoint # directly. SSLProxyMachineCertificateFile /etc/pki/tls/certs/authproxy.pem # To use the challenging-proxy, an X-Csrf-Token must be present. RewriteCond %{REQUEST_URI} ^/challenging-proxy RewriteCond %{HTTP:X-Csrf-Token} ^$ [NC] RewriteRule ^.* - [F,L] <Location /challenging-proxy/oauth/authorize> # Insert your backend server name/ip here. ProxyPass https://<namespace_route>/oauth/authorize AuthName "SSO Login" # For Kerberos AuthType GSSAPI Require valid-user RequestHeader set X-Remote-User %{REMOTE_USER}s GssapiCredStore keytab:/etc/httpd/protected/auth-proxy.keytab # Enable the following if you want to allow users to fallback # to password based authentication when they do not have a client # configured to perform kerberos authentication. GssapiBasicAuth On # For ldap: # AuthBasicProvider ldap # AuthLDAPURL "ldap://ldap.example.com:389/ou=People,dc=my-domain,dc=com?uid?sub?(objectClass=*)" </Location> <Location /login-proxy/oauth/authorize> # Insert your backend server name/ip here. ProxyPass https://<namespace_route>/oauth/authorize AuthName "SSO Login" AuthType GSSAPI Require valid-user RequestHeader set X-Remote-User %{REMOTE_USER}s env=REMOTE_USER GssapiCredStore keytab:/etc/httpd/protected/auth-proxy.keytab # Enable the following if you want to allow users to fallback # to password based authentication when they do not have a client # configured to perform kerberos authentication. GssapiBasicAuth On ErrorDocument 401 /login.html </Location> </VirtualHost> RequestHeader unset X-Remote-Userhttps://<namespace_route>地址是 OAuth 服务器的路由,可以通过运行oc get route -n openshift-authentication获得。 -
更新自定义资源 (CR) 中的
identityProviders节。identityProviders: - name: requestheaderidp type: RequestHeader requestHeader: challengeURL: "https://<namespace_route>/challenging-proxy/oauth/authorize?${query}" loginURL: "https://<namespace_route>/login-proxy/oauth/authorize?${query}" ca: name: ca-config-map clientCommonNames: - my-auth-proxy headers: - X-Remote-User -
验证配置。
-
确认您可以通过提供正确的客户端证书和标头来请求令牌来绕过代理。
# curl -L -k -H "X-Remote-User: joe" \ --cert /etc/pki/tls/certs/authproxy.pem \ https://<namespace_route>/oauth/token/request -
确认没有提供客户端证书的请求会失败,方法是请求没有证书的令牌。
# curl -L -k -H "X-Remote-User: joe" \ https://<namespace_route>/oauth/token/request -
确认
challengeURL重定向处于活动状态。# curl -k -v -H 'X-Csrf-Token: 1' \ https://<namespace_route>/oauth/authorize?client_id=openshift-challenging-client&response_type=token复制
challengeURL重定向,以便在下一步中使用。 -
运行此命令以显示带有
WWW-Authenticate基本挑战、协商挑战或两种挑战的401响应。# curl -k -v -H 'X-Csrf-Token: 1' \ <challengeURL_redirect + query> -
测试使用和不使用 Kerberos 票证登录 OpenShift CLI (
oc)。-
如果您使用
kinit生成了 Kerberos 票证,请将其销毁。# kdestroy -c cache_name (1)1 确保提供 Kerberos 缓存的名称。 -
使用您的 Kerberos 凭据登录
oc工具。# oc login -u <username>在提示符处输入您的 Kerberos 密码。
-
注销
oc工具。# oc logout -
使用您的 Kerberos 凭据获取票证。
# kinit在提示符处输入您的 Kerberos 用户名和密码。
-
确认您可以登录
oc工具。# oc login如果您的配置正确,您无需输入单独的凭据即可登录。
-
-