зато в groups можно писать и тогда ему добавится новая группа

Стоп, тоесть получается после синхронизации групп из AD , я должен руками добавить пользователя в эту локальную группу?

А зачем тогда он когда синкает группы , стягивает список юзеров которые в неё входят?

в нашем случае группы создаются. права у пользователей тоже появляются. руками ничего не добавляем.
но у нас без кириллицы. с тем скриптом синхронизации что  кидал выше.

@nightguide

kind: LDAPSyncConfig
apiVersion: v1
url: ldap://{AD IP}:{AD PORT}
bindDN: {AD SYNC USER}
bindPassword: {AD SYNC USER PASSWROD}
groupUIDNameMapping:
    "cn={AD GROUP},ou={ORG UNIT},dc={DOMAIN CONTROLLER},dc={DOMAIN CONTROLLER}": {OKD GROUP}
rfc2307:
    groupsQuery:
        baseDN: "OU={ORG UNIT},dc={DOMAIN CONTROLLER},dc={DOMAIN CONTROLLER}"
        scope: sub
        derefAliases: never
        filter: (&(objectClass=group)(CN={AD GROUP PATTERN}*))
        pageSize: 0
    groupUIDAttribute: dn 
    groupNameAttributes: [ cn ] 
    groupMembershipAttributes: [ member ] 
    usersQuery:
        baseDN: "OU={ORG UNIT},dc={DOMAIN CONTROLLER},dc={DOMAIN CONTROLLER}"
        scope: sub
        derefAliases: never
        pageSize: 0
    userUIDAttribute: dn 
    userNameAttributes: [ sAMAccountName ]
    groupMembershipAttributes: [ member ]

oc adm policy add-cluster-role-to-group cluster-admin {OKD GROUP}

kind: LDAPSyncConfig
apiVersion: v1
url: ldap://{AD IP}:{AD PORT}
bindDN: {AD SYNC USER}
bindPassword: {AD SYNC USER PASSWROD}
groupUIDNameMapping:
    "cn={AD GROUP},ou={ORG UNIT},dc={DOMAIN CONTROLLER},dc={DOMAIN CONTROLLER}": {OKD GROUP}
rfc2307:
    groupsQuery:
        baseDN: "OU={ORG UNIT},dc={DOMAIN CONTROLLER},dc={DOMAIN CONTROLLER}"
        scope: sub
        derefAliases: never
        filter: (&(objectClass=group)(CN={AD GROUP PATTERN}*))
        pageSize: 0
    groupUIDAttribute: dn 
    groupNameAttributes: [ cn ] 
    groupMembershipAttributes: [ member ] 
    usersQuery:
        baseDN: "OU={ORG UNIT},dc={DOMAIN CONTROLLER},dc={DOMAIN CONTROLLER}"
        scope: sub
        derefAliases: never
        pageSize: 0
    userUIDAttribute: dn 
    userNameAttributes: [ sAMAccountName ]
    groupMembershipAttributes: [ member ]

в таком случае Nested группы работают?

мммм...я не тестил если честно...скорее всего нет

если тебе нужно чтобы вся группа была в шифте, просто добавь окд-девелоперс

Я хочу нормальную поддержку nested groups

Иначе это костыли, мне нужно чтобы я мог в группу Openshift_Admins в AD я мог добавить группу с админами и чтобы это работало :)

Блин , ну я же спрашивал

Сделал всё работает .

Меня смущало, что юзеры добавлялись с атрибутом dn , а когда группы добавлялись и в них юзеры то там был sAMAccountName , я сделал везде dn и маппинг заработал

Коллеги, привет. Кто-то подскажет по эластику, который идёт по умолчанию в okd3.11 Хочу делать снапшоты, для этого нужно в конфиге добавить путь к директории вида path.repo: ["/mount/backups", "/mount/longterm_backups"]. После добавления path.repo под эластика  начинает крашится.

Релиз OpenShift 4.2 🥳

Основные изменения:
* Kubernetes 1.14.6
* Developer Console GA
* OpenShift Pipelines (Tekton) в Developer Preview
* CodeReady Containers GA
* OpenShift Serverless (Knative) в Tech Preview
* Disconnected Install and Update (включая proxy)
* Egress Proxy для всего кластера
* Инсталлятор поддерживает автоматический инсталл на Azure, GCP и OpenStack
* OVN в tech preview
* Special Resources Operator (NVIDIA CUDA) в tech preview
* Local Volume Operator
* Metering (ChargeBack) Operator
* Администратор может разрешить определеленным пользователям устанавливать cluster-wide операторы
* Настройка консоли через CRD
* Query Browser в консоли

https://docs.openshift.com/container-platform/4.2/release_notes/ocp-4-2-release-notes.html

в про локаз волюм можно поподробнее?

а так, мощный список

Ну видимо оператор который читает CR и пилит локалхост