Pour créer un login utilisateur dans 1. Kubernetes, il faut lui créer un certificat.
On doit d’abord créer l’utilisateur (useradd), on peut quand même tester en spécifiant le certificat de connexion, sans devoir créer un nouvel utilisateur.
Ensuite, on génère la clé pour l’utilistateur en utilisant OpenSSL: openssl genrsa -out utilisateur.key 2048. Ensuite on génère la requête de certificat avec la clé: openssl req -new -key utilisateur.key -out utilisateur.csr -subj "/CN=utilisateur/O=organisation". Finalement, on peut signer le certificat avec l’authorité du cluster en faisant: openssl x509 -req -in utilisateur.csr -CA /etc/kubernetes/pki/ca.crt -CAkey=/etc/kubernetes/pki/ca.key -CAcreateserial -out utilisateur.crt -days 45.
Il est maintenant possible d’utiliser ces nouvelles informations de connexion en faisant kubectl config set-credentials utilisateur --client-certificate=<client cert>.crt --client-key=<client key>.key.
Pour voir une liste d’utilisateur, on peut faire kubectl config get-users. Le nom d’utilisateur est définit dans son certificat dans la section CN.
Pour voir la configuration actuelle pour l’admission des utilisateurs sur le Kube-Apiserver, on peut faire cat /etc/kubernetes/manifests/kube-apiserver.yaml | grep "admission".