
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
此仓库是商业开源项目 CZERTAINLY 的一部分。有关该项目的更多信息,请访问 https://github.com/CZERTAINLY/CZERTAINLY 仓库,包括贡献指南。
Auth 服务设计为中央服务,用于管理对不同资源及相关操作和对象的访问控制,并基于身份令牌识别用户。
Auth 服务提供以下功能:
用户可属于多个角色,此时权限将从所有已分配角色中合并。
注意 授权由 OPA(Open Policy Agent)执行。
Auth服务负责管理用户、角色以及可分配给用户的关联权限。
用户可基于以下顺序提供的身份令牌进行识别:
成功识别后,将返回包含合并角色权限的用户详情。若未提供上述任何数据,用户将被识别为权限有限的*******用户。
使用证书识别用户时,将解码并解析证书内容字符串,验证其有效性和可信度。然后,基于证书指纹从数据库映射到用户并返回认证响应。一个证书最多可分配给 1 个用户。
使用 JSON ID 识别用户时,将解码并验证其是否符合要求的结构。JSON ID 中指定的用户名用作识别用户的唯一信息。Auth 服务可进一步配置为在用户或角色不存在时创建它们。
用户名仅用于系统用户的内部识别,以提升权限并执行其他需要授权的操作,不对外暴露给外部系统。
本服务不评估权限。授权由 https://www.openpolicyagent.org/ 控制。有关更多信息,请参阅 https://docs.czertainly.com/docs/certificate-key/concept-design/architecture/access-control/overview%E3%80%82
Auth 服务以 Docker 容器形式提供。使用 czertainly/czertainly-auth:tagname 从仓库拉取所需镜像。可通过以下环境变量进行配置:
| 变量名 | 描述 | 是否必填 | 默认值 |
|---|---|---|---|
AUTH_DB_CONNECTION_STRING | 数据库访问连接字符串 | 是 | N/A |
AUTH_CREATE_UNKNOWN_USERS | 当使用 JSON 身份令牌识别未知用户时,是否创建该用户 | 否 | false |
AUTH_CREATE_UNKNOWN_ROLES | 当使用 JSON 身份令牌识别未知角色时,是否创建该角色并分配给用户 | 否 | false |
SYNC_POLICY | create-only - 基于上述变量创建用户和角色,令牌中的变更不影响已存在用户;sync-data - 用户属性和角色与令牌中的用户数据同步 | 否 | create-only |
使用以下命令启动 Auth 服务容器:
bashdocker run -d \ --name czertainly-auth \ -e AUTH_DB_CONNECTION_STRING="jdbc:postgresql://db-host:5432/authdb?user=authuser&password=authpass" \ -e AUTH_CREATE_UNKNOWN_USERS=true \ -e SYNC_POLICY="sync-data" \ docker.xuanyuan.run/czertainly/czertainly-auth:latest
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
来自真实用户的反馈,见证轩辕镜像的优质服务