using token to authorization

pull/148/head
rootsongjc 2018-02-27 23:05:29 +08:00
parent 5466c1b75e
commit c8116ea8f0
4 changed files with 31 additions and 5 deletions

View File

@ -23,6 +23,8 @@
需要创建一个admin用户并授予admin角色绑定使用下面的yaml文件创建admin用户并赋予他管理员权限然后可以通过token访问kubernetes该文件见[admin-role.yaml](https://github.com/rootsongjc/kubernetes-handbook/tree/master/manifests/dashboard-1.7.1/admin-role.yaml)。
#### 生成kubernetes集群最高权限admin用户的token
```yaml
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
@ -49,13 +51,13 @@ metadata:
addonmanager.kubernetes.io/mode: Reconcile
```
然后执行下面的命令创建 serviceaccount 和角色绑定,对于其他命名空间的其他用户只要修改上述 yaml 中的 `name``namespace` 字段即可:
然后执行下面的命令创建 serviceaccount 和角色绑定,
```bash
kubectl create -f admin-role.yaml
```
创建完成后获取secrettoken的值。
创建完成后获取secrettoken的值。
```bash
# 获取admin-token的secret名字
@ -88,6 +90,26 @@ kubectl -n kube-system get secret admin-token-nwphb -o jsonpath={.data.token}|ba
我们使用了 base64 对其重新解码,因为 secret 都是经过 base64 编码的,如果直接使用 kubectl 中查看到的 `token` 值会认证失败,详见 [secret 配置](../guide/secret-configuration.md)。关于 JSONPath 的使用请参考 [JSONPath 手册](https://kubernetes.io/docs/user-guide/jsonpath/)。
更简单的方式是直接使用`kubectl describe`命令获取token的内容经过base64解码之后
```bash
kubectl describe secret admin-token-nwphb
```
#### 为普通用户生成token
为指定namespace分配该namespace的最高权限这通常是在为某个用户组织或者个人划分了namespace之后需要给该用户创建token登陆kubernetes dashboard或者调用kubernetes API的时候使用。
每次创建了新的namespace下都会生成一个默认的token名为`default-token-xxxx`。`default`就相当于该namespace下的一个用户可以使用下面的命令给该用户分配该namespace的管理员权限。
```bash
kubectl create rolebinding $ROLEBINDING_NAME --clusterrole=admin --serviceaccount=$NAMESPACE:default --namespace=$NAMESPACE
```
- `$ROLEBINDING_NAME`必须是该namespace下的唯一的
- `admin`表示用户该namespace的管理员权限关于使用`clusterrole`进行更细粒度的权限控制请参考[RBAC——基于角色的访问控制](../concepts/rbac.md)。
- 我们给默认的serviceaccount `default`分配admin权限这样就不要再创建新的serviceaccount当然你也可以自己创建新的serviceaccount然后给它admin权限
## 参考
- [JSONPath 手册](https://kubernetes.io/docs/user-guide/jsonpath/)

View File

@ -103,7 +103,7 @@ cp -f ./devuser.kubeconfig /root/.kube/config
关于 kubeconfig 文件的更多信息请参考 [使用 kubeconfig 文件配置跨集群认证](../guide/authenticate-across-clusters-kubeconfig.md)。
## ClusterRoleBinding
## ClRoleBinding
如果我们想限制 devuser 用户的行为,需要使用 RBAC 将该用户的行为限制在某个或某几个 namespace 空间范围内,例如:

View File

@ -101,7 +101,9 @@ env:
这样就可以使用`brand.kubeconfig`文件来登陆dashboard了而且只能访问和操作`brand`命名空间下的对象。
### 生成 token
### 生成集群管理员的token
以下是为集群最高权限的管理员可以任意操作所有namespace中的所有资源生成token的步骤详解。
> 注意登陆dashboard的时候token值是必须的而kubeconfig文件是kubectl命令所必须的kubectl命令使用的kubeconfig文件中可以不包含token信息。
@ -184,6 +186,8 @@ kubectl -n kube-system get secret admin-token-nwphb -o jsonpath={.data.token}|ba
注意我们使用了 base64 对其重新解码,因为 secret 都是经过 base64 编码的,如果直接使用 kubectl 中查看到的 `token` 值会认证失败,详见 [secret 配置](../guide/secret-configuration.md)。关于 JSONPath 的使用请参考 [JSONPath 手册](https://kubernetes.io/docs/user-guide/jsonpath/)。
**注意**关于如何给其它namespace的管理员生成token请参考[使用kubeconfig或token进行用户身份认证](../guide/auth-with-kubeconfig-or-token.md)。
## 参考
- [Dashboard log in mechanism #2093](https://github.com/kubernetes/dashboard/issues/2093)

View File

@ -95,7 +95,7 @@ kubectl config use-context kubernetes --kubeconfig=${USER}.kubeconfig
kubectl create ns $USER
# 绑定角色
kubectl create rolebinding ${USER}-admin-binding --clusterrole=admin --user=$USER --namespace=$USER
kubectl create rolebinding ${USER}-admin-binding --clusterrole=admin --user=$USER --namespace=$USER --serviceaccount=$USER:default
kubectl config get-contexts