Azure CycleCloud는 암호화, Active Directory, LDAP 또는 Microsoft Entra ID가 있는 기본 제공 데이터베이스의 네 가지 인증 방법을 제공합니다. 인증 방법을 선택하고 설정하려면 관리자 메뉴(화면 오른쪽 위)에서 설정 페이지를 열고 인증을 두 번 클릭합니다. 기본 인증 방법을 선택하고 다음 섹션의 지침을 따릅니다.
기본 제공
기본적으로 CycleCloud는 간단한 데이터베이스 권한 부여 체계를 사용합니다. 시스템은 암호를 암호화하고 데이터베이스에 저장합니다. 사용자는 저장된 사용자 이름 및 암호를 사용하여 인증합니다. 이 방법을 사용하려면 인증 페이지에서 기본 제공 확인란을 선택합니다.
사용자 이름 및 암호를 입력한 다음 테스트를 선택하여 정보를 확인하여 사용자의 자격 증명을 테스트 할 수 있습니다.
액티브 디렉터리
주의
인증을 로컬에서 AD, LDAP 또는 Entra ID로 변경하는 경우 CycleCloud 인스턴스에서 자신을 잠글 수 있습니다. 로컬 계정이 있고 구성된 서버에 인증할 수 있는 사용자에게 액세스가 수행됩니다(로컬 암호는 무시됨). 다음 지침은 잠금으로부터 보호하는 데 도움이 됩니다.
- Active Directory를 사용하도록 설정하려면 확인란을 선택합니다.
- Active Directory 서버의 URL을 입력합니다( ldap:// 또는 ldaps:// 시작).
- 사용자가 "DOMAIN\user" 또는 ""(UPN)와 같은 이름으로 인증하는지 여부에 따라 기본 도메인을 "DOMAIN" 또는 "user@domain.com@domain.com"로 입력합니다. 이 필드를 비워 두면 사용자는 정규화된 이름을 입력해야 합니다.
- 테스트를 선택하여 CycleCloud에서 제공된 설정을 사용할 수 있는지 확인합니다. 인증 서버에 있는 계정을 사용합니다.
- 별도의 브라우저 또는 시크릿 창에서 2단계에서 추가한 도메인 계정으로 로그인합니다.
- 4단계에서 로그인이 성공하면 첫 번째 세션에서 로그아웃할 수 있습니다. 인증이 올바르게 구성되었습니다.
앞의 예제에서는 Active Directory 환경에 대한 샘플 구성을 보여 줍니다. Windows 사용자는 EXAMPLE\username으로 로그인하므로 도메인으로 "EXAMPLE"를 입력합니다. 서버 ad.example.com 인증을 처리하므로 URL로 ldaps://ad.example.com 입력합니다.
비고
인증 시도가 실패한 후에도 인증 설정 창에 "인증 실패" 메시지가 계속 표시될 수 있습니다. 취소를 클릭하고 다시 시작하면 이 메시지가 지워지게 됩니다. 인증에 성공하면 "인증 실패" 메시지가 "인증 성공"으로 바뀝니다.
LDAP
- LDAP 인증을 사용하도록 설정하려면 확인란을 선택합니다.
- 적절한 LDAP 설정을 입력합니다.
- 테스트를 선택하여 CycleCloud가 제공된 설정을 사용할 수 있는지 확인합니다. 인증 서버에 있는 계정을 사용합니다.
- 별도의 브라우저 또는 시크릿 창에서 2단계에서 추가한 도메인 계정으로 로그인합니다.
- 4단계의 인증에 성공하면 첫 번째 세션에서 로그아웃할 수 있습니다. 인증이 올바르게 구성되었습니다.
Entra ID(미리 보기)
Entra 인증 및 권한 부여를 위한 CycleCloud 구성
비고
먼저 Microsoft Entra 애플리케이션을 만들어야 합니다. 아직 만들지 않은 경우 지금 만들기를 참조하세요.
GUI 구성
Entra ID 인증을 사용하려면:
- CycleCloud를 시작하고 오른쪽 위 모서리의 설정 으로 이동합니다.
- Authentication이라는 테이블 행을 선택하고 구성을 선택하거나 행을 두 번 클릭합니다. 팝업 대화 상자에서 Entra ID 섹션을 선택합니다.
- 세 개의 섹션이 있는 창이 표시됩니다. Entra ID 섹션에 그대로 머무릅니다.
- Entra ID 인증 사용 확인란을 선택합니다.
- Azure Portal에서 Microsoft Entra 애플리케이션에 대한 개요 페이지로 이동하여 해당 값에 따라 테넌트 ID 및 클라이언트 ID를 입력합니다.
- 기본적으로 엔드포인트는 (퍼블릭 엔드포인트)로 설정
https://login.microsoftonline.com됩니다. 그러나 정부 클라우드 환경에 대한 엔드포인트와 같은 사용자 지정 엔드포인트를 설정할 수도 있습니다. - 저장을 선택하여 변경 내용을 저장합니다.
클러스터 노드에 대한 액세스 구성
Linux 클러스터용 CycleCloud 사용자 관리 기능을 사용하려면 클러스터 노드에 대한 인증 액세스 권한이 있는 사용자를 위한 SSH 공개 키가 필요합니다. Microsoft Entra ID 인증 및 권한 부여를 사용하도록 설정하면 사용자가 CycleCloud에 한 번 이상 로그인하여 사용자 계정 레코드를 초기화합니다. 그런 다음 프로필을 편집하여 공개 SSH 키를 추가합니다.
CycleCloud는 사용자에 대한 UID 및 GID를 자동으로 생성합니다. 그러나 클러스터가 영구 스토리지 리소스에 액세스하는 경우 관리자는 사용자가 파일 시스템의 기존 사용자와 일치하도록 명시적으로 UID 및 GID를 설정해야 할 수 있습니다.
GUI 작업의 대안으로 사용자 레코드를 미리 만들어 이러한 사용자 프로필 업데이트를 수행할 수도 있습니다. 자세한 내용은 사용자 관리를 참조하세요.
CycleCloud에서 Entra ID 인증 사용
Entra ID를 사용하여 CycleCloud로 인증하는 경우 시스템은 다음 시나리오를 지원합니다.
- 인증에 성공하면 항상 사용자 역할이 Entra ID에 설정된 역할과 일치하도록 다시 설정됩니다. 액세스 토큰의 기본 수명은 1시간이므로 새 역할을 적용하려면 로그아웃하고 다시 로그인해야 할 수 있습니다.
- 미리 만든 사용자로 인증하는 경우 첫 번째 로그인 전에 테넌트 ID 및 개체 ID가 누락될 수 있습니다. 이 경우 CycleCloud는 로그에 경고 메시지를 보내고 이러한 값을 Entra ID 토큰에서 오는 값과 일치하도록 설정합니다.
- 개체 ID 또는 테넌트 ID가 액세스 토큰의 ID와 일치하지 않는 경우 CycleCloud는 이를 인증 오류로 처리합니다. 인증하려면 먼저 이전 사용자 레코드를 수동으로 제거해야 합니다.
- Entra ID로 인증할 수 있는 계정을 생성하지 않아서 슈퍼 사용자 계정에 접근할 수 없게 된 경우, 콘솔에서
./cycle_server reset_access명령어를 실행하여 Entra ID 인증을 비활성화할 수 있습니다. - Entra ID 인증을 통해 사용자를 만들 때 기본적으로 구성된 공용 SSH 키가 없습니다. 노드에서 사용자 관리를 사용하려면 키를 수동으로 구성해야 합니다.
암호 정책
Azure CycleCloud에는 통합된 암호 정책 및 보안 조치가 있습니다. 기본 제공 인증 방법으로 만든 계정에는 8자에서 123자 사이의 암호가 있어야 합니다. 암호는 다음 네 가지 조건 중 세 개 이상을 충족해야 합니다.
- 하나 이상의 대문자 포함
- 하나 이상의 소문자 포함
- 최소한 하나의 숫자를 포함
- 하나 이상의 특수 문자를 포함합니다.
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;
관리자는 계정 편집 화면 내에서 다음 로그인에서 암호 변경 강제 적용 상자를 선택하여 사용자가 새 정책을 따르도록 암호를 업데이트하도록 요구할 수 있습니다.
보안 잠금
서로 60초 이내에 5개의 권한 부여 오류를 감지하는 모든 계정은 5분 동안 자동으로 잠깁니다. 관리자는 계정의 잠금을 수동으로 해제하거나 사용자가 5분 동안 기다릴 수 있습니다.