DC/OS 中的验证
在 DC/OS 中,默认需要进行用户身份认证。想在 DC/OS 群集上执行操作(而不是登录)的每个用户,都必须首先进行身份认证。
DC/OS 对通过使用认证令牌而分散的用户认证进行处理。认证令牌由身份和访问管理 (IAM) 分发给每个用户。令牌由任何第三方实体进行带外验证。允许令牌认证可独立于 IAM 使得这种方法与集中式会话状态保持相比具有高度可扩展性。此外,有了令牌,用户认证状态不会被轻易撤销。
登录 DC/OS 之后,用户便会收到 DC/OS 认证令牌. DC/OS 认证令牌可用于验证对 API 的后续请求;请参阅 将认证令牌传递到 API.
DC/OS 认证令牌也被 DC/OS CLI 内部使用,以认证后续的 CLI 命令。仅 DC/OS CLI 版本 0.4.3 及更高版本支持身份认证。
在 DC/OS 中,系统的唯一验证器是 Admin Router. 它根据 [身份和访问管理 (IAM)]发出的信息来执行 DC/OS 认证令牌验证。(/mesosphere/dcos/cn/2.0/overview/architecture/components/#dcos-iam).
通过利用公钥加密技术的带外验证,可以使第三方实体成为 DC/OS 认证令牌的验证器;请参阅 带外令牌验证,以获得说明。
禁用身份认证
您可以通过以下任一方式禁用身份认证:
-
通过 [高级安装] 禁用身份认证:(/mesosphere/dcos/cn/2.0/installing/production/deploying-dcos/installation/): 您可以通过将此参数添加到配置文件 () 来禁用身份认证。
genconf/config.yaml
).oauth_enabled: 'false'
如需更多信息,请参阅配置文档。
-
通过 [AWS] 上的云安装来禁用身份认证:(/mesosphere/dcos/cn/2.0/installing/evaluation/community-supported-methods/aws/): 您可以在 指定详细信息 步骤上将
OAuthEnabled
选项设置为false
来禁用身份认证。