Benutzerauthentifizierung

Azure CycleCloud bietet vier Authentifizierungsmethoden: eine integrierte Datenbank mit Verschlüsselung, Active Directory, LDAP oder Microsoft Entra ID. Um Ihre Authentifizierungsmethode auszuwählen und einzurichten, öffnen Sie die Seite "Einstellungen" im Menü "Administrator" (oben rechts auf dem Bildschirm), und doppelklicken Sie auf " Authentifizierung". Wählen Sie Ihre bevorzugte Authentifizierungsmethode aus, und folgen Sie den Anweisungen in den folgenden Abschnitten.

Integriert

CycleCloud verwendet standardmäßig ein einfaches Datenbankautorisierungsschema. Das System verschlüsselt Kennwörter und speichert sie in der Datenbank. Benutzer authentifizieren sich mit ihrem gespeicherten Benutzernamen und Kennwort. Um diese Methode zu verwenden, aktivieren Sie das Kontrollkästchen für "Integriert " auf der Seite " Authentifizierung ".

Sie können die Anmeldeinformationen eines Benutzers testen, indem Sie den Benutzernamen und das Kennwort eingeben und dann " Testen" auswählen, um die Informationen zu überprüfen.

Active Directory

1. Aktivieren Sie das Kontrollkästchen, um Active Directory zu aktivieren.
2. Geben Sie die URL für Ihren Active Directory-Server ein (beginnend mit ldap:// oder ldaps://).
3. Geben Sie die Standarddomäne als "DOMÄNE" oder "@domain.com" ein, je nachdem, ob sich Ihre Benutzer mit Namen wie "DOMAIN\user" oder "user@domain.com" (UPN) authentifizieren. Wenn Sie dieses Feld leer lassen, müssen Die Benutzer ihren vollqualifizierten Namen eingeben.
4. Wählen Sie "Testen" aus, um sicherzustellen, dass CycleCloud die bereitgestellten Einstellungen verwenden kann. Verwenden Sie ein Konto, das auf Ihrem Authentifizierungsserver vorhanden ist.
5. Melden Sie sich in einem separaten Browser- oder Inkognito-Fenster als das Domänenkonto an, das Sie in Schritt 2 hinzugefügt haben.
6. Wenn die Anmeldung in Schritt 4 erfolgreich ist, können Sie sich aus der ersten Sitzung abmelden. Die Authentifizierung ist ordnungsgemäß konfiguriert.

Das vorherige Beispiel zeigt eine Beispielkonfiguration für eine Active Directory-Umgebung. Windows-Benutzer melden sich als BEISPIEL\Benutzername an, sodass Sie "EXAMPLE" als Domäne eingeben. Der Server ad.example.com behandelt die Authentifizierung, sodass Sie ldaps://ad.example.com als URL eingeben.

LDAP

1. Aktivieren Sie das Kontrollkästchen, um die LDAP-Authentifizierung zu aktivieren.
2. Geben Sie die entsprechenden LDAP-Einstellungen ein.
3. Wählen Sie "Testen" aus, um sicherzustellen, dass CycleCloud die bereitgestellten Einstellungen verwenden kann. Verwenden Sie ein Konto, das auf Ihrem Authentifizierungsserver vorhanden ist.
4. Melden Sie sich in einem separaten Browser- oder Inkognito-Fenster als das Domänenkonto an, das Sie in Schritt 2 hinzugefügt haben.
5. Wenn die Authentifizierung in Schritt 4 erfolgreich ist, können Sie sich bei Ihrer ersten Sitzung abmelden. Die Authentifizierung ist ordnungsgemäß konfiguriert.

Entra-ID (VORSCHAU)

Konfigurieren von CycleCloud für Entra-Authentifizierung und Autorisierung

GUI-Konfiguration

So aktivieren Sie die Entra-ID-Authentifizierung:

1. Starten Sie CycleCloud, und navigieren Sie dann in der oberen rechten Ecke zu "Einstellungen ".
2. Wählen Sie die Tabellenzeile mit dem Namen "Authentifizierung " aus, und wählen Sie " Konfigurieren " aus, oder doppelklicken Sie auf die Zeile. Wählen Sie im Popupdialogfeld den Abschnitt entra ID aus.
3. Es wird ein Fenster mit drei Abschnitten angezeigt. Bleiben Sie im Abschnitt entra ID .
4. Aktivieren Sie das Kontrollkästchen Entra ID-Authentifizierung aktivieren .
5. Wechseln Sie zur Seite "Übersicht" für Ihre Microsoft Entra-Anwendung im Azure-Portal, und geben Sie die Mandanten-ID und Die Client-ID basierend auf diesen Werten ein.
6. Standardmäßig ist der Endpunkt auf https://login.microsoftonline.com (der öffentliche Endpunkt) festgelegt. Sie können jedoch auch einen benutzerdefinierten Endpunkt festlegen, z. B. einen für eine Government Cloud-Umgebung.
7. Wählen Sie Speichern, um Ihre Änderungen zu speichern.

Konfigurieren des Zugriffs auf Clusterknoten

Das CycleCloud-Benutzerverwaltungsfeature für Linux-Cluster erfordert einen öffentlichen SSH-Schlüssel für Benutzer mit Authentifizierungszugriff auf Clusterknoten. Wenn Sie die Microsoft Entra-ID-Authentifizierung und -Autorisierung aktivieren, melden sich Benutzer mindestens einmal bei CycleCloud an, um ihren Benutzerkontodatensatz zu initialisieren. Anschließend bearbeiten sie ihr Profil, um ihren öffentlichen SSH-Schlüssel hinzuzufügen.

CycleCloud generiert automatisch eine UID und GID für Benutzer. Wenn ein Cluster jedoch auf persistente Speicherressourcen zugreift, muss ein Administrator möglicherweise die UID und die GID festlegen, damit Benutzer explizit den vorhandenen Benutzern im Dateisystem entsprechen.

Sie können diese Benutzerprofilaktualisierungen auch durchführen, indem Sie Benutzerdatensätze als Alternative zum GUI-Vorgang vorab erstellen. Weitere Informationen finden Sie unter "Benutzerverwaltung".

Verwenden der Entra-ID-Authentifizierung mit CycleCloud

Wenn Sie sich mit CycleCloud mithilfe der Entra-ID authentifizieren, unterstützt das System die folgenden Szenarien:

1. Bei einer erfolgreichen Authentifizierung werden die Benutzerrollen immer zurückgesetzt, um mit den in Entra ID eingerichteten Rollen übereinzustimmen. Da die Standardlebensdauer eines Zugriffstokens eine Stunde ist, müssen Sie sich möglicherweise abmelden und wieder anmelden, damit die neuen Rollen wirksam werden.
2. Wenn Sie sich als benutzende Person authentifizieren, die Sie zuvor erstellt haben, fehlt möglicherweise die Mandanten-ID und die Objekt-ID vor der ersten Anmeldung. In diesem Fall sendet CycleCloud eine Warnmeldung an die Protokolle und legt diese Werte so fest, dass sie mit den werten übereinstimmen, die aus dem Entra-ID-Token stammen.
3. Wenn die Objekt-ID oder Mandanten-ID nicht mit den im Zugriffstoken übereinstimmen, behandelt CycleCloud sie als Authentifizierungsfehler. Sie müssen den alten Benutzerdatensatz manuell entfernen, bevor Sie sich authentifizieren können.
4. Wenn Sie sich selbst aus dem Super-Benutzerkonto sperren, indem Sie vergessen, ein Konto zu erstellen, das Sie mit Ihrer Entra-ID authentifizieren können, können Sie die Entra-ID-Authentifizierung über die Konsole deaktivieren, indem Sie diese ausführen ./cycle_server reset_access.
5. Wenn Sie Benutzer über die Entra-ID-Authentifizierung erstellen, haben diese standardmäßig keine öffentlichen SSH-Schlüssel konfiguriert. Um die Benutzerverwaltung auf Knoten zu verwenden, müssen Sie die Schlüssel manuell konfigurieren.

Kennwortrichtlinie

Azure CycleCloud verfügt über eine integrierte Kennwortrichtlinie und Sicherheitsmaßnahmen. Konten, die Sie mit der integrierten Authentifizierungsmethode erstellen, müssen Kennwörter zwischen 8 und 123 Zeichen lang haben. Kennwörter müssen mindestens drei der folgenden vier Bedingungen erfüllen:

• Muss mindestens einen Großbuchstaben enthalten
• Mindestens einen Kleinbuchstaben enthalten
• Mindestens eine Zahl enthalten
• Mindestens ein Sonderzeichen enthalten: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

Administratoren können festlegen, dass Benutzer Kennwörter aktualisieren müssen, um der neuen Richtlinie zu folgen, indem Sie im Dialogfeld "Konto bearbeiten" das Feld "Kennwortänderung beim nächsten Anmelden erzwingen" auswählen.

Sicherheitssperre

Jedes Konto, das fünf Autorisierungsfehler innerhalb von 60 Sekunden voneinander erkennt, sperrt automatisch fünf Minuten lang. Administratoren können Konten manuell entsperren, oder Benutzer können die fünf Minuten warten.