User Tools
управление_доступом_в_kubernetes
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
управление_доступом_в_kubernetes [2026/03/21 09:12] val [Шаг 7. Использование OpenID Connect] |
управление_доступом_в_kubernetes [2026/06/15 14:46] (current) val [Шаг 7. Использование OpenID Connect] |
||
|---|---|---|---|
| Line 160: | Line 160: | ||
| * Подключение к Keycloak групп из [[Сервис Keycloak#FreeIPA]] через LDAP | * Подключение к Keycloak групп из [[Сервис Keycloak#FreeIPA]] через LDAP | ||
| - | * Сервис Keycloak [[Сервис Keycloak#Аутентификация пользователей WEB приложения]] | + | * Настройка в Keycloak [[Сервис Keycloak#Аутентификация пользователей WEB приложения]] с передачей списка групп в токене |
| * [[Сервис Keycloak#Проверка получения токена]] и наличия в нем списка групп и aud any-client | * [[Сервис Keycloak#Проверка получения токена]] и наличия в нем списка групп и aud any-client | ||
| Line 180: | Line 180: | ||
| ... | ... | ||
| </code><code> | </code><code> | ||
| - | kube1:~# ps ax | grep kube-apiserver | + | kube1:~# ps ax | grep kube-apiserver # |grep keycloak |
| kube1:~# journalctl -f | grep kube-apiserver | kube1:~# journalctl -f | grep kube-apiserver | ||
| Line 188: | Line 188: | ||
| Error: unknown flag: --oidc-client-secret | Error: unknown flag: --oidc-client-secret | ||
| ... | ... | ||
| - | E1203 05:22:46.412571 1 authentication.go:73] "Unable to authenticate the request" err="[invalid bearer token, oidc: verify token: oidc: expected audience \"any-client\" got [\"account\"]]" | + | E1203 05:22:46.412571 1 authentication.go:73] "Unable to authenticate the request" |
| + | err="[invalid bearer token, oidc: verify token: oidc: expected audience \"any-client\" got [\"account\"]]" | ||
| ... | ... | ||
| - | E1218 10:36:21.105422 1 authentication.go:75] "Unable to authenticate the request" err="[invalid bearer token, oidc: email not verified]" | + | E1218 10:36:21.105422 1 authentication.go:75] "Unable to authenticate the request" |
| + | err="[invalid bearer token, oidc: email not verified]" | ||
| ... | ... | ||
| </code> | </code> | ||
| Line 207: | Line 209: | ||
| ... | ... | ||
| users: | users: | ||
| - | - name: user1 | + | #... |
| + | - name: user1-token | ||
| user: | user: | ||
| auth-provider: | auth-provider: | ||
| Line 224: | Line 227: | ||
| </code> | </code> | ||
| - | * В FreeIPA cоздаем группу freeipa-kube-admin, синхронизируем в Keycloak | + | * В FreeIPA cоздаем группу freeipa-kube-admin, синхронизируем (лучше настроить Periodic sync) в Keycloak |
| * [[Система Kubernetes#Предоставление полного доступа к Kubernetes Cluster]] | * [[Система Kubernetes#Предоставление полного доступа к Kubernetes Cluster]] | ||
управление_доступом_в_kubernetes.1774073551.txt.gz · Last modified: 2026/03/21 09:12 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
