Чисто теоретически мне ничего не мешает подправить после деплоя в ресурсе , но всё же интересно ) кто-нибудь деплоил с указанием русских OU шек CNок

ты ручками на мастере добавь и посмотри что будет

Коллеги, подскажите пожалуйста. Как можно реализовать такой функционал. Сейчас у меня есть OU в AD в которой много пользователей, там и разрабы и архитекторы и админы. По умолчанию авторизация в опеншифт разрешена всем. Что бы хотел сделать. Когда по умолчанию авторизовываются пользователи из этой OU получают отлуп типа мол "Если вам нужен доступ свяжитесь с саппортом", если уже состоишь в нужных группах то входишь

Не уверен как в лдапе запретить определенному OU входить - наверное определенный connection string без этого OU?

Если я модифицировал master-config , достаточно пересоздать поды master-api-atlas-nsk-kub-master-* ?

или нужно ещё etcd дёрнуть ?

master-restart api && master-restart controllers

спасибо

Скажите плиз, а правильно ли я понимаю, что опеншифт делает мапинг групп через https://docs.openshift.com/container-platform/3.9/install_config/syncing_groups_with_ldap.html#ldap-client-configuration

да

т.е получается по умолчанию типа всем разрешено т.к. авторизовавшись ты сталл аутентификатед юзер, а далее рулится группами?

по умолчанию разрешено тем кому разрешено в конфигурации

сущности из LDAP мапятся к группам которые имеют права на что либо

нет особого смысла пускать всех в аутентификатед юзерс

хм странно

oc  describe clusterrolebinding.rbac self-provisioners --all-namespaces
Error from server (NotFound): clusterrolebindings.rbac.authorization.k8s.io "self-provisioners" not found

Ребятки, что проверять, когда твой DNS внутренний не работает? и внутри подов не видно других подов

dnsmasq на нодах