部署以后查看namespace报”You must be logged in to the server (Unauthorized)“错误 #2
Comments
|
请求带的 token 和你获取的 id_token 不一致。 |
|
我可能解的图,不对,我后面手动refresh了token,然后又获取新的id_token。 |
|
那我现在用kubeconfig里面的id_token能访问吗(能自动刷新吗),还是说需要重写获取。 |
|
另外为什么会报"you must be logged in to the server"错误 |
|
我重新试了一下,还是不行 应该是授权没过,ClusterRole 和 ClusterRoleBinding 发出来看看 |
用 Kubelogin 插件可以自动获取 |
关键是我刚获取的id-token都不行 |
|
应该是 RBAC 的问题,看下 ClusterRole 和 ClusterRoleBinding |
|
|
|
你把 id_token 黏贴到 jwt.io 看下内容 |
|
|
|
token 的有效时长,你有调整吗 |
|
调整了 |
|
重新通过 |
|
我直接用--token指定idtoken就没问题,但我通过切换context,就会报“You must be logged in to the server (Unauthorized)”错误。 另外通过curl获取namespace还是报之前的错误! 请问大佬知道是什么问题吗 |
|
执行看下是不是有获取 node 的权限:kubectl auth can-i list nodes --as tom |
--token 后面故意跟一个错误的 token 看下还能获取 node 吗 |
|
--token 后面故意跟一个错误的 token 看下还能获取 node 吗
另外一个kubectl auth can-i list nodes --as tom有个警告,但是yes |
|
kubectl get namespace --user tom --token=<id_token> 这样应该就不行了,没指定 --user |
|
你可以看下 apiserver 的日志,看下有啥异常 |
|
E1205 08:02:39.410489 1 authentication.go:63] "Unable to authenticate the request" err="invalid bearer token" token不对,新获取的idtoken,而且是重新set crenditial |
|
|
|
|
原因是 API Server 不信任 keycloak 的证书,需要把签发 keycloak 证书的 CA 添加到 api server 的配置文件中,从而让 API Server 信任 keycloak 的证书。
|
环境:
k8s版本是1.23.9,按照你的文档部署keycloak后,修改了kube-apiserver文件,创建clusterrolebinding,同时也配置了credential和context:
报如下错误:
请帮忙看下,谢谢!
The text was updated successfully, but these errors were encountered: