Openshift

Upravljanje OpenShift / OKD korisnicima s HTPasswd Identity Provider

Upravljanje OpenShift / OKD korisnicima s HTPasswd Identity Provider

Sada imamo niz članaka koji raspravljaju na platformi OpenShift Container. Ovaj će vodič objasniti kako se može konfigurirati HTPasswd kao pružatelj identiteta za OCP / OKD klaster. Možete konfigurirati OpenShift OAuth poslužitelj da koristi brojne davatelje identiteta, naime:

HTPasswdProvjerite korisnička imena i lozinke u tajnosti koja pohranjuje vjerodajnice generirane pomoću htpasswd.
LDAPKonfigurirajte pružatelja LDAP identiteta za provjeru valjanosti korisničkih imena i lozinki na LDAPv3 poslužitelju, koristeći jednostavnu provjeru autentičnosti vezanja.
KeystoneOmogućuje zajedničku provjeru autentičnosti s OpenStack Keystone v3 poslužiteljem.
OpenID ConnectIntegrira se s pružateljem identiteta OpenID Connect koristeći tijek autorizacijskog koda.
GitHubKonfigurirajte davatelja identiteta GitHub za provjeru valjanosti korisničkih imena i lozinki protiv GitHub ili poslužitelja za provjeru autentičnosti GitHub Enterprises OAuth.

Davatelj usluga HTPasswd OAuth

Ovaj davatelj usluga provjerava valjanost korisnika protiv tajne koja sadrži korisnička imena i lozinke generirane pomoću htpasswd naredba iz projekta Apache HTTP poslužitelj. Kao administrator klastera možete mijenjati podatke unutar tajne. Što znači ažuriranje korisničkih imena i lozinki koje se koriste za provjeru autentičnosti.

Upravljanje korisnicima klastera s HTPasswd Identity Provider pogodno je samo za razvojna okruženja s malim brojem korisnika. U većini proizvodnih okruženja sa stotinama do tisuća korisnika neophodan je snažniji pružatelj identiteta koji se integrira sa sustavom upravljanja identitetom organizacije.

OpenShift tečajevi:

Praktični OpenShift za programere - novi tečaj 2021

Ultimate Openshift (2021) Bootcamp by School of Devops

Upravljajte OpenShift / OKD korisnicima s HTPasswd Identity Provider

Da biste dodali drugog davatelja identiteta u OpenShift / OKD, morate pristupiti svom OpenShift klasteru kao administrator klastera. Ako radite na svježe instaliranom OpenShift klasteru, dostupna su dva načina za autentifikaciju API zahtjeva:

U ovom ćemo priručniku koristiti metodu provjere autentičnosti kubeconfig za dodavanje HTPasswd davatelja usluge OpenShift. The oc za ovu operaciju potreban je klijent. Ovisno o mjestu datoteke kubeconfig, možda ćete je trebati izvesti.

izvoz KUBECONFIG = / root / auth / kubeconfig

Potvrdite da radi provjerom dostupnih čvorova u klasteru.

$ oc dobiti čvorove

Kao alternativu možete koristiti --konfiguracija opcija naredbe oc:

$ oc --config / path / to / kubeconfig dobiti čvorove

Za provjeru autentičnosti s kubeadm virtualni korisnik, pokrenut ćete naredbu sličnu donjoj.

$ oc prijava -u kubeadmin -p KubeadmUserPassword

Konfiguriranje davatelja identiteta HTPasswd

Započet ćemo s generiranjem potrebne datoteke htpasswd koja će sadržavati vjerodajnice korisnika. Jedan paket koji treba instalirati koji pruža naredbu htpasswd.

--- CentOS / RHEL / Fedora --- $ sudo yum -y instaliraj httpd-alate --- Ubuntu / Debian --- $ sudo apt install apache2-utils --- Arch Linux / Manjaro $ sudo pacman -S apache

Stvaranje datoteke HTPasswd

Stvorite novi ili ažurirajte postojeći htpasswd datoteka.

$ htpasswd -c -B -b ocp_users.htpasswd user1 lozinka1

Da biste dodali ili ažurirali vjerodajnice, upotrijebite:

$ htpasswd -Bb ocp_users.htpasswd user2 password2 $ htpasswd -Bb ocp_users.htpasswd user3 lozinka3

Potvrdite da je datoteka stvorena.

$ mačka ocp_users.htpasswd user1: $ 2y $ 05 $ VNgzIy33djzSlOLkHqiR6.CG9oQaPM4CZz4q86Z4s4m23gtllV7I. user2: $ 2y $ 05 $ 0grDO248lSANnOWOlqY2BO / B6 / CWm6yJGSYBfZgDnJFBsVrBIIaTW user3: $ 2y $ 05 $ pqp6mo9oGk7E2AIfawDKg.ntUIUjIMRidYvR017mRxdhs5.ctWED2

Da biste izbrisali korisnika iz htpasswd, pokrenite sljedeću naredbu:

$ htpasswd -D ocp_users.htpasswd user3 Brisanje lozinke za korisnika user3 

Stvorite HTPasswd tajnu

Moramo definirati tajnu koja sadrži korisničku datoteku HTPasswd prije nego što možemo koristiti pružatelja identiteta HTPasswd.

$ oc stvori tajnu generičku htpass-tajnu \ - iz datoteke = htpasswd =./ ocp_users.htpasswd \ -n openshift-config

Konfiguriranje prilagođenog resursa OAuth

Da biste koristili HTPasswd davatelja identiteta, mora se urediti prilagođeni resurs OAuth da bi se dodala stavka u .spec.identitet Niz pružatelja. Stvorimo novu datoteku.

$ vim htpasswd-oauth.yaml

Dodajte i uredite sadržaj u nastavku.

apiVersion: config.openhift.io / v1 vrsta: OAuth metapodaci: ime: specifikacija klastera: identProvideri: - ime: Mapiranje lokalne lozinkeMetoda: vrsta zahtjeva: HTPasswd htpasswd: fileData: name: htpass-secret 

Gdje:

Primijenite definirani CR:

oc primijeniti -f htpasswd-oauth.yaml

Sada možete odabrati 'Lokalna lozinka'na zaslonu za prijavu OpenShift za provjeru autentičnosti kod davatelja usluge HTPasswd pomoću dodanih vjerodajnica.

Također se možete prijaviti u klaster iz CLI-a pomoću oc naredba kao korisnik od dodanog davatelja identiteta.

$ oc prijava -u 

Unesite lozinku kada se to zatraži.

Ažurirajte HTPasswd Secret na OpenShift

Kad god dodate, promijenite ili izbrišete korisnike u datoteci htpasswd, tajna se mora ažurirati i na OpenShift klasteru. Svi podaci unutar tajne moraju biti kodirani u base64.

Jedan od načina kodiranja podataka je upotreba datoteke oc stvoriti tajnu slanjem izlaza YAML na standardni izlaz, a zatim cjevovodom izlaza na oc zamijeniti naredba za ažuriranje postojeće tajne.

oc stvoriti tajnu generičku htpass-tajnu \ - iz datoteke htpasswd =./ ocp_users.htpasswd \ --dry-run -o yaml \ | oc Zamijeni -n openshift-config -f -

Ažuriranje prilagođenog resursa OAuth

Ako želiš Uredi OAuth prilagođeni resurs, koristite oc dobiti naredba za izvoz postojećeg resursa klastera OAuth u datoteku u YAML formatu.

 oc get -o yaml oauth cluster> htpasswd-oauth.yaml

Unesite potrebne promjene u postavke ugrađenog davatelja identiteta, a zatim primijenite novi prilagođeni resurs pomoću oc zamijeniti naredba.

$ oc primijeni -f htpasswd-oauth.yaml

Dodijelite administrativne privilegije korisniku

Široka nakupina klaster-admin uloga dodjeljuje privilegije administracije klastera korisnicima i grupama. Možete odobriti klaster-admin ulogu standardnom korisniku s naredbom ispod.

oc adm pravila add-cluster-role-to-user cluster-admin 

Izdvajanje tajnih podataka

Možete izvući tajne podatke i spremiti ih u datoteku koja se može pregledavati ili mijenjati. Koristiti oc ekstrakt za ovu operaciju.

oc izvadi secret / htpass-secret -n openshift-config --to -> temp-secrets

Ostanite povezani kako biste pronašli još vodiča za rad OpenShift klastera. U trenutku provjere:

Kako prikazati zapisnike OpenShift čvorova pomoću naredbe oc

Kako otvoriti upit ljuske na čvoru OpenShift

Spriječite korisnike u stvaranju projekata u OpenShift / OKD klasteru

Instalirajte Harbor Image Registry na Kubernetes / OpenShift s Helm Chart

Instalirajte Project Quay Registry na OpenShift s operatorom

Kako otkriti keylogger na bilo kojem računalu
Keylogger su opasni programi koje hakeri instaliraju na bilo koji sustav za njuškanje lozinke, podataka o kreditnoj kartici itd. Pohranjuje sve pritis...
Popravak - Windows Defender ne uključuje problem UKLJUČENO u sustavu Windows 10
Windows Defender je vrlo dobra alternativa kada je u pitanju zaštita vašeg računala od raznih zlonamjernih programa, virusa. Dakle, kada se na vašem r...
Windows vatrozid ne može prepoznati domensku mrežu u sustavu Windows 10 Fix
Uobičajena norma trebala bi biti poput povezivanja s mrežom domene, na primjer, tvrtke, vatrozid Windows trebao bi se automatski promijeniti u profil ...