Red Hat OpenShift Berechtigungen
Die aufgeführten Befehle wurden mit der OpenShift Version 3.10 getestet und dokumentiert. Das Thema Berechtigungen wird auf dieser Seite ausführlich behandelt und mit Code Segmenten ergänzt. Die Informationen werden stets aktualisiert und auf der neusten Version von OpenShift gehalten.
User verwalten
OpenShift Cluster User anzeigen:
[michael@osec01 ~]$ oc get user NAME UID FULL NAME IDENTITIES michael 5674baec-4b31-11e9-b5a4-000c29054c0c htpasswd_auth:michael
OpenShift Cluster User anlegen:
[michael@osec01 ~]$ oc TPD...... NAME UID FULL NAME IDENTITIES michael 5674baec-4b31-11e9-b5a4-000c29054c0c htpasswd_auth:michael
Cluster Rollen
Betrachtung aller aktuell vorhandenen Cluster Rollen:
$ oc get clusterrolebinding
Betrachtung aller User-spezifischen Cluster Rollen:
$ oc get clusterrolebinding | grep <username>
Einem User eine Cluster Rolle hinzufügen:
$ oc adm policy add-cluster-role-to-user <cluster-role> <username>
Eine bestehende Cluster Rolle von einem User entfernen:
$ oc adm policy remove-cluster-role-from-user <cluster-role> <username>
Projekt Rollen
Betrachtung aller aktuell vorhandenen Projekt Rollen:
$ oc get rolebinding -n <project-name>
Einem User eine Projekt Rolle hinzufügen:
$ oc adm policy add-role-to-user <project-role> <username>
Eine bestehende Projekt Rolle von einem User entfernen:
$ oc adm policy remove-role-from-user <project-role> <username>
Beschreibung der einzelnen Projektrollen
Folgende Projektrollen können vom Projektersteller, Projekt-Administrator oder einem Cluster-Admin vergeben werden. Personen welche ein neues Projekt auf OpenShift erstellen, erhalten automatisch die Projekt-Administrator für das jeweilige Projekt.
Admin
Ein Benutzer welcher diese Rolle / Berechtigung erhalten hat, kann das ganze Projekt administrieren sowie Berechtigungen auf dem Projekt verwalten.
basic-user
Diese Projektrolle erlaubt eine generelle Ansicht von grundlegenden Informationen (Benutzer, Gruppen, Pods, Services usw) über das Projekt.
edit
Ein Mitglied dieser Projektrolle kann die meisten Objekte eines Projektes kreieren, ändern oder löschen.
Eine Änderung an Berechtigungen (Projektrollen) können nicht gemacht werden.
view
Ein Benutzer welcher alle Ressourcen sehen kann, jedoch diese nicht bearbeiten kann.
Zusätzlich sind generierte Passwörter (Automatisierung) sowie Berechtigungen für diese Rolle nicht einsehbar.
system:deployer
Ist primär mit Service-Accounts (OpenShift) verknüpft, welche für das automatisierte Deployment innerhalb des Projektes verwendet wird.
Ein Account mit dieser Berechtigung kann in dem Projekt Deployments vornehmen.
system:image-builder
Hat Berechtigungen für Build, Push und Pull von Images innerhalb des Projekts. Ist primär mit einem Service-Account (OpenShift) verknüpft.
system:image-puller
Diese Rolle, welche auch wieder für Service-Accounts (OpenShift) verwendet wird, ist berechtigt Images innerhalb des Projektes zu pullen.
system:image-pusher
Hat die Berechtigung Images innerhalb des Projekts zu pushen und pullen.
Wird vor allem auch bei Service-Accounts von OpenShift verwendet.