using token to authorization

guide/auth-with-kubeconfig-or-token.md

@@ -23,6 +23,8 @@
 
 需要创建一个admin用户并授予admin角色绑定，使用下面的yaml文件创建admin用户并赋予他管理员权限，然后可以通过token访问kubernetes，该文件见[admin-role.yaml](https://github.com/rootsongjc/kubernetes-handbook/tree/master/manifests/dashboard-1.7.1/admin-role.yaml)。
 
+#### 生成kubernetes集群最高权限admin用户的token
+
 ```yaml
 kind: ClusterRoleBinding
 apiVersion: rbac.authorization.k8s.io/v1beta1
@@ -49,13 +51,13 @@ metadata:
     addonmanager.kubernetes.io/mode: Reconcile
 ```
 
-然后执行下面的命令创建 serviceaccount 和角色绑定，对于其他命名空间的其他用户只要修改上述 yaml 中的 `name` 和 `namespace` 字段即可：
+然后执行下面的命令创建 serviceaccount 和角色绑定，
 
 ```bash
 kubectl create -f admin-role.yaml
 ```
 
-创建完成后获取secret和token的值。
+创建完成后获取secret中token的值。
 
 ```bash
 # 获取admin-token的secret名字
@@ -88,6 +90,26 @@ kubectl -n kube-system get secret admin-token-nwphb -o jsonpath={.data.token}|ba
 
 我们使用了 base64 对其重新解码，因为 secret 都是经过 base64 编码的，如果直接使用 kubectl 中查看到的 `token` 值会认证失败，详见 [secret 配置](../guide/secret-configuration.md)。关于 JSONPath 的使用请参考 [JSONPath 手册](https://kubernetes.io/docs/user-guide/jsonpath/)。
 
+更简单的方式是直接使用`kubectl describe`命令获取token的内容（经过base64解码之后）：
+
+```bash
+kubectl describe secret admin-token-nwphb 
+```
+
+#### 为普通用户生成token
+
+为指定namespace分配该namespace的最高权限，这通常是在为某个用户（组织或者个人）划分了namespace之后，需要给该用户创建token登陆kubernetes dashboard或者调用kubernetes API的时候使用。
+
+每次创建了新的namespace下都会生成一个默认的token，名为`default-token-xxxx`。`default`就相当于该namespace下的一个用户，可以使用下面的命令给该用户分配该namespace的管理员权限。
+
+```bash
+kubectl create rolebinding $ROLEBINDING_NAME --clusterrole=admin --serviceaccount=$NAMESPACE:default --namespace=$NAMESPACE
+```
+
+- `$ROLEBINDING_NAME`必须是该namespace下的唯一的
+- `admin`表示用户该namespace的管理员权限，关于使用`clusterrole`进行更细粒度的权限控制请参考[RBAC——基于角色的访问控制](../concepts/rbac.md)。
+- 我们给默认的serviceaccount `default`分配admin权限，这样就不要再创建新的serviceaccount，当然你也可以自己创建新的serviceaccount，然后给它admin权限
+
 ## 参考
 
 - [JSONPath 手册](https://kubernetes.io/docs/user-guide/jsonpath/)

guide/kubectl-user-authentication-authorization.md

@@ -103,7 +103,7 @@ cp -f ./devuser.kubeconfig /root/.kube/config
 
 关于 kubeconfig 文件的更多信息请参考 [使用 kubeconfig 文件配置跨集群认证](../guide/authenticate-across-clusters-kubeconfig.md)。
 
-## ClusterRoleBinding
+## ClRoleBinding
 
 如果我们想限制 devuser 用户的行为，需要使用 RBAC 将该用户的行为限制在某个或某几个 namespace 空间范围内，例如：
 

practice/dashboard-upgrade.md

@@ -101,7 +101,9 @@ env:
 
 这样就可以使用`brand.kubeconfig`文件来登陆dashboard了，而且只能访问和操作`brand`命名空间下的对象。
 
-### 生成 token
+### 生成集群管理员的token
+
+以下是为集群最高权限的管理员（可以任意操作所有namespace中的所有资源）生成token的步骤详解。
 
 > 注意：登陆dashboard的时候token值是必须的，而kubeconfig文件是kubectl命令所必须的，kubectl命令使用的kubeconfig文件中可以不包含token信息。
 
@@ -184,6 +186,8 @@ kubectl -n kube-system get secret admin-token-nwphb -o jsonpath={.data.token}|ba
 
 注意我们使用了 base64 对其重新解码，因为 secret 都是经过 base64 编码的，如果直接使用 kubectl 中查看到的 `token` 值会认证失败，详见 [secret 配置](../guide/secret-configuration.md)。关于 JSONPath 的使用请参考 [JSONPath 手册](https://kubernetes.io/docs/user-guide/jsonpath/)。
 
+**注意**：关于如何给其它namespace的管理员生成token请参考[使用kubeconfig或token进行用户身份认证](../guide/auth-with-kubeconfig-or-token.md)。
+
 ## 参考
 
 - [Dashboard log in mechanism #2093](https://github.com/kubernetes/dashboard/issues/2093)

tools/create-user/create-user.sh

@@ -95,7 +95,7 @@ kubectl config use-context kubernetes --kubeconfig=${USER}.kubeconfig
 kubectl create ns $USER
 
 # 绑定角色
-kubectl create rolebinding ${USER}-admin-binding --clusterrole=admin --user=$USER --namespace=$USER
+kubectl create rolebinding ${USER}-admin-binding --clusterrole=admin --user=$USER --namespace=$USER --serviceaccount=$USER:default
 
 kubectl config get-contexts