Авторизация Kubernetes через локальные группы

Question

каждый.

Мне интересно, есть ли возможность авторизовать пользователей для доступа к объектам kubernetes через локальные группы?

Как сейчас я делаю это:

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: example-rolebinding
  namespace: mynamespace
subjects:
- kind: User
  name: example-user1 # member of local unix group "authorized"
  apiGroup: rbac.authorization.k8s.io
- kind: User
  name: example-user2 # member of local unix group "authorized"
  apiGroup: rbac.authorization.k8s.io
- kind: User
  name: example-user3 # member of local unix group "authorized"
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: example-role
  apiGroup: rbac.authorization.k8s.io

И я пытаюсь сделать это так:

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: example-rolebinding
  namespace: mynamespace
subjects:
- kind: Group
  name: authorized
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: example-role
  apiGroup: rbac.authorization.k8s.io

Есть ли какой-нибудь вариант? Или я хочу слишком много от K8S и мне нужно что-то разрабатывать самостоятельно?

Спасибо

Answer 1

Группы являются своего рода непрозрачной конструкцией между уровнем аутентификации и системой rba c. Какой бы плагин authn вы не использовали, он может пометить запрос именем пользователя и любым количеством групп, и тогда rba c будет их использовать. Но сам k8s не знает, что такое пользователь или группа. Итак, все зависит от вашей конфигурации и плагина authn.