我有几台装有 docker 的机器,这些机器的 tls 证书由 docker-machine 使用通用 CA 生成。我想将其中一个实例的访问权限授予另一个用户。该怎么做?我是否需要为每台服务器提供单独的 CA 来阻止用户访问其他机器?撤销访问权限怎么样?
答案1
如果您没有对所有信任当前 CA 的机器使用授权插件 - 或者授权插件(通常对于为用户启用特定权限而不是全部或全部没有很有用),则需要单独的 CA。
授权插件可以根据客户端证书的 CN 决定是否执行操作。我不知道是否有现成的插件可供下载,可以满足您的需要。(可能您只是想继续允许每个受信任的证书用户执行所有操作,除了它具有您提供给其他用户的 CN 之一,这非常简单,但对于任何公共插件来说可能都太简单了。)