Question

我们的目标是更改https://docs.openshift.com/container-platform/3.6/admin_solutions/user_role_mgmt.html#leveraging-default-groups中记录的“默认权限”。小组system:authenticated , system:authenticated:oauth, system:unauthenticated 不应该能够访问API。一个用例是：不允许不在管理员组中的ldap用户登录Web控制台。这也是我们测试它的方式。

等命令

oadm policy remove-cluster-role-from-user basic-user system:authenticated
oadm policy remove-cluster-role-from-user system:basic-user system:authenticated

返回没有错误。但是，我们也看不到任何影响。 oc get clusterrolebindings和oc get rolebindings的输出保持不变，我们的测试用户仍然可以登录。

我们正在尝试错误的命令吗？还是需要采取进一步行动？

Answer 1

这有效：

oadm policy remove-cluster-role-from-group basic-user system:authenticated

所以system:authenticated是一个群体，而不是一个用户。这是错误的命令。谢谢红帽支持。

虽然 - 在运行上述命令后，群集无法正常工作，并且

oadm policy remove-cluster-role-from-group basic-user system:unauthenticated

我们不得不还原它。我想知道这是否只是造成破坏的第二个命令。但是，经过将近一周的停机时间，团队的其他成员并不热衷于测试如果您只撤销系统中的基本用户会发生什么：经过身份验证。

如何限制OpenShift中的默认权限

1 个答案: