Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez activer l’authentification pour les nœuds de cluster de deux façons : utiliser l’authentification intégrée de CycleCloud ou intégrer des nœuds à un service d’annuaire tel qu’Active Directory ou LDAP.
Utilisateur de l’agent de machine virtuelle
Chaque machine virtuelle Azure que CycleCloud démarre et gère possède un utilisateur administrateur nommé cyclecloud.
L’agent de machine virtuelle crée cet utilisateur. Vous trouverez la clé privée SSH pour l’utilisateur cyclecloud sur /opt/cycle_server/.ssh/cyclecloud.pem sur le serveur d’applications CycleCloud. Cette clé est unique à chaque installation et est générée pendant le processus d’installation.
L’utilisateur cyclecloud existe localement sur chaque machine virtuelle. Traitez-le en tant qu’utilisateur de service avec un accès administrateur, mais vous pouvez le trouver utile pour la résolution des problèmes.
Pour vous connecter à un nœud en tant que cyclecloud, exécutez la commande suivante :
ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}
Vous pouvez également utiliser l’interface CLI CycleCloud :
cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh
cyclecloud connect [node] -c [cluster] -u cyclecloud
Gestion des utilisateurs intégrée
CycleCloud inclut un système de gestion des utilisateurs intégré qui crée des comptes d’utilisateur locaux sur chaque machine virtuelle. Le système crée ces comptes d’utilisateur locaux pour chaque utilisateur disposant des autorisations d’authentification pour le cluster. En outre, les utilisateurs disposant de l’autorisation d’administrateur de nœud disposent de privilèges d’administrateur (sudo) pour chaque machine virtuelle du cluster. Vous pouvez accorder ces autorisations par le biais de la propriété du cluster, en partageant explicitement des autorisations sur le cluster ou en affectant des utilisateurs à un rôle qui accorde l’accès à l’authentification globale. Pour plus d’informations sur l’attribution de rôles à des utilisateurs, consultez Gestion des utilisateurs CycleCloud.
Vous pouvez voir la liste des utilisateurs disposant d’un accès d’authentification aux nœuds sur la page du cluster sous Utilisateurs. La sélection du lien d’affichage ouvre une boîte de dialogue avec plus d’informations.
Cette boîte de dialogue affiche chaque utilisateur et l’état de la gestion des utilisateurs sur chaque nœud du cluster. Il affiche des erreurs ou des avertissements lors de la configuration des utilisateurs, tels qu’un conflit UID ou un nom d’utilisateur non autorisé. Étant donné que le jetpackd démon gère les utilisateurs sur chaque nœud, vous pouvez apporter des modifications aux clusters en cours d’exécution.
Se connecter aux nœuds
L’authentification utilisateur utilise des clés SSH. La clé publique de chaque utilisateur provient de CycleCloud et est configurée sur chaque machine virtuelle. Si un utilisateur n’a pas de clé publique, le compte d’utilisateur local est toujours créé, mais l’utilisateur ne peut pas se connecter tant qu’une clé n’est pas ajoutée manuellement.
Pour les clusters avec un serveur NFS, le répertoire de base de chaque utilisateur se trouve sur le NAS sous le répertoire /shared/homede base. Pour les clusters sans serveur NFS, le répertoire de base de base est /home local pour chaque machine virtuelle du cluster.
Révoquer l’accès
Si vous accordez un accès d’authentification utilisateur via une autorisation partagée, supprimez cette autorisation partagée à l’aide du lien Access sur la page du cluster. Si un utilisateur a le rôle d’administrateur de nœud général ou d’utilisateur de nœud global , un administrateur doit supprimer ces rôles sous l’onglet Utilisateurs de la page Paramètres .
Remarque
Vous ne supprimez pas les comptes d’utilisateur sur les nœuds en cours d’exécution. Au lieu de cela, vous modifiez l’interpréteur de commandes d’authentification pour ces comptes d’utilisateur révoqués en /sbin/nologin. Cette modification refuse un accès d’authentification supplémentaire sans détruire les données de l’utilisateur.
Désactiver le système de gestion des utilisateurs intégré
Chaque installation de CycleCloud active le système de gestion des utilisateurs intégré par défaut. Ce paramètre s’applique à l’ensemble de l’installation. Tous les clusters que le serveur CycleCloud gère ont ce paramètre activé. Pour le désactiver, accédez à la section CycleCloud de la page Paramètres . La zone contextuelle offre une option pour l’authentification par nœud. Sélectionnez Désactivé dans la liste déroulante pour vous assurer que le système ne crée aucun compte d’utilisateur local en dehors de l’utilisateur de l’agent de machine virtuelle.
Systèmes de gestion des utilisateurs tiers
Pour les clusters de production d’entreprise, nous vous recommandons de gérer l’accès utilisateur via un service d’annuaire tel que LDAP, Active Directory ou NIS. Vous pouvez implémenter cette intégration en configurant PAM et NSS dans les images de machine virtuelle utilisées sur chaque nœud, ou en créant des projets CycleCloud qui s’exécutent pendant la phase d’installation logicielle de chaque nœud.
Le service de domaine Azure Active Directory fournit un service managé pour les serveurs Active Directory. Vous trouverez des instructions pour rejoindre un domaine Linux ici.