本文永久链接: https://www.xtplayer.cn/rancher/authentication/rancher2-authentication/

Rancher 为 Kubernetes 增强的一个关键功能是集中用户身份验证,此功能允许您的用户使用一组凭据对所有 Kubernetes 集群进行身份验证。

此集中式用户身份验证是使用 Rancher 身份验证代理完成的,该代理与 Rancher 一起安装。此代理会对您的用户进行身份验证,并使用服务帐户将其请求转发给您的 Kubernetes 集群。

外部认证与本地认证

Rancher 提供本地身份验证,也可以与外部身份验证服务集成:

Auth Service可用版本
Microsoft Active Directoryv2.0.0
GitHubv2.0.0
Microsoft Azure ADv2.0.3
FreeIPAv2.0.5
OpenLDAPv2.0.5
Microsoft AD FSv2.0.7
PingIdentityv2.0.7
Keycloakv2.1.0
Oktav2.2.0

在大多数情况下,您应该使用外部身份验证服务,因为外部验证服务可以统一的进行用户管理。如果没有外部身份验证服务,您也可以通过本地身份验证来管理 Rancher 用户。

外部身份验证配置和主要用户

外部身份验证的配置需要:

  • 一个具有管理员角色的本地管理员账号,例如:local_admin

  • 一个可以使用外部身份验证服务进行身份验证的外部服务账号,例如:demo

    外部身份验证的配置会影响 Rancher 中本地用户的管理方式。请按照以下列表更好地了解这些效果。

  1. 本地管理员登录 Rancher,对外部身份验证服务进行完整配置。

  2. Rancher 将外部服务账号与本地管理员账号联系在一起。这两个账号共享本地管理员用户的用户 ID。

  3. 完成配置后,Rancher 会自动注销本地管理员账号。

  4. 然后,Rancher 将自动以外部服务用户登录。

  5. 由于外部服务账号和本地管理员账号共享一个 ID,因此在用户页面上不会显示外部服务账号的唯一标识。

  6. 外部服务账号和本地管理员账号共享相同的访问权限。

重要说明 不管启用哪种外部身份验证服务,Rancher 内置的超级管理员 admin 将一直启用。