Sommaire

Authentification et autorisation

1. Origine du besoin

La section précédente a été consacrée à la mise en place de restrictions sur les accès au niveau des espaces de noms. Toutefois, les accès ont tous été réalisés avec le même identifiant.

Le fichier Kubeconfig devient donc une ressource critique comme le serait un mot de passe root ou une clé privée SSH.

Si dans une équipe restreinte ce type de problématique reste acceptable, dans une organisation plus imposante, cette situation peut poser problème.

Les utilisateurs peuvent être authentifiés à l’aide de plusieurs mécanismes :

  • en autorisant les accès anonymes,

  • par certificats clients x509,

  • par fichiers statiques de définition d’utilisateurs,

  • par utilisateurs authentifiés à l’aide d’OAuth2,

  • par proxy d’authentification.

Certains de ces accès s’appuient sur la configuration du serveur d’API de Kubernetes via l’utilisation d’options de démarrage ou sur l’émission de certificats générés à l’aide de la clé privée du cluster (Private Key Infrastructure).

Par la suite, vous aborderez les mécanismes suivants :

  • mise en place d’accès anonymes,

  • authentification par certificat,

  • authentification par mécanisme externe (basé sur Oauth2).

2. Prérequis

Les exercices qui suivent s’appuieront ...