Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede habilitar la autenticación para los nodos de clúster de dos maneras: usar la autenticación integrada de CycleCloud o integrar nodos con un servicio de directorio como Active Directory o LDAP.
El usuario del agente de máquina virtual
Cada máquina virtual de Azure que CycleCloud inicia y administra tiene un usuario administrador denominado cyclecloud. El agente de máquina virtual crea este usuario. Puede encontrar la clave privada SSH para el cyclecloud usuario en /opt/cycle_server/.ssh/cyclecloud.pem en el servidor de aplicaciones cycleCloud. Esta clave es única para cada instalación y se genera durante el proceso de instalación.
El cyclecloud usuario existe localmente en cada máquina virtual. Tratarlo como usuario de servicio con acceso de administrador, pero es posible que le resulte útil para solucionar problemas.
Para conectarse a un nodo como cyclecloud, ejecute el siguiente comando:
ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}
Como alternativa, puede usar la CLI de CycleCloud:
cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh
cyclecloud connect [node] -c [cluster] -u cyclecloud
Administración de usuarios integrada
CycleCloud incluye un sistema de administración de usuarios integrado que crea cuentas de usuario locales en cada máquina virtual. El sistema crea estas cuentas de usuario locales para cada usuario con permisos de autenticación en el clúster. Además, los usuarios con el permiso de administrador del nodo tienen privilegios de administrador (sudo) para cada máquina virtual del clúster. Puede conceder estos permisos a través de la propiedad del clúster, compartiendo explícitamente permisos en el clúster o asignando usuarios a un rol que conceda acceso de autenticación global. Para obtener más información sobre cómo asignar roles a los usuarios, consulte CycleCloud User Management.
Puede ver la lista de usuarios con acceso de autenticación a los nodos en la página del clúster en Usuarios. Al seleccionar el vínculo mostrar se abre un cuadro de diálogo con más información.
Este cuadro de diálogo muestra cada usuario y el estado de administración de usuarios en cada nodo del clúster. Muestra errores o advertencias al configurar usuarios, como un conflicto de UID o un nombre de usuario no permitido. Dado que el jetpackd daemon administra los usuarios de cada nodo, puede modificar los clústeres que están en ejecución.
Iniciar sesión en los nodos
La autenticación de usuario usa claves SSH. La clave pública de cada usuario procede de CycleCloud y está configurada en cada máquina virtual. Si un usuario no tiene una clave pública, se sigue creando la cuenta de usuario local, pero el usuario no puede iniciar sesión hasta que se agregue manualmente una clave.
En el caso de los clústeres con un servidor NFS, el directorio principal de cada usuario se encuentra en el NAS en el directorio /shared/homebase . En el caso de los clústeres sin un servidor NFS, el directorio principal base es /home y es local para cada máquina virtual del clúster.
Revocación del acceso
Si concede a un usuario acceso de autenticación a través de un permiso compartido, quite ese permiso compartido mediante el vínculo Access de la página del clúster. Si un usuario tiene el rol Administrador global de nodos o Usuario de nodo global , un administrador debe quitar esos roles en la pestaña Usuarios de la página Configuración .
Nota:
No elimine cuentas de usuario en cualquier nodo en funcionamiento. En su lugar, cambie el shell de autenticación de estas cuentas de usuario revocadas a /sbin/nologin. Este cambio deniega aún más el acceso de autenticación sin destruir ninguno de los datos del usuario.
Deshabilitar el sistema de administración de usuarios integrado
Cada instalación de CycleCloud habilita el sistema de administración de usuarios integrado de forma predeterminada. Esta configuración se aplica a toda la instalación. Todos los clústeres que administra el servidor CycleCloud tienen habilitada esta configuración. Para deshabilitarlo, vaya a la sección CycleCloud de la página Configuración . El cuadro emergente tiene una opción para la autenticación de nodo. Seleccione Deshabilitado en la lista desplegable para asegurarse de que el sistema no crea ninguna cuenta de usuario local aparte del usuario del agente de máquina virtual.
Sistemas de administración de usuarios de terceros
En el caso de los clústeres de producción empresarial, se recomienda administrar el acceso de los usuarios a través de un servicio de directorio, como LDAP, Active Directory o NIS. Puede implementar esta integración configurando PAM y NSS en las imágenes de máquina virtual usadas en cada nodo o creando proyectos de CycleCloud que se ejecutan durante la fase de instalación de software para cada nodo.
Azure Active Directory Domain Service proporciona un servicio administrado para los servidores de Active Directory. Puede encontrar instrucciones para unir un dominio de Linux aquí.