Udostępnij przez

Uwierzytelnianie użytkownika

Usługa Azure CycleCloud oferuje cztery metody uwierzytelniania: wbudowaną bazę danych z szyfrowaniem, usługą Active Directory, ldap lub identyfikatorem Entra firmy Microsoft. Aby wybrać i skonfigurować metodę uwierzytelniania, otwórz stronę Ustawienia w menu Administratora (w prawym górnym rogu ekranu) i kliknij dwukrotnie pozycję Uwierzytelnianie. Wybierz preferowaną metodę uwierzytelniania i postępuj zgodnie z instrukcjami w poniższych sekcjach.

Wbudowane

Domyślnie usługa CycleCloud używa prostego schematu autoryzacji bazy danych. System szyfruje hasła i przechowuje je w bazie danych. Użytkownicy uwierzytelniają się przy użyciu przechowywanej nazwy użytkownika i hasła. Aby użyć tej metody, zaznacz pole wyboru Wbudowane na stronie Uwierzytelnianie.

Możesz przetestować poświadczenia użytkownika, wprowadzając nazwę użytkownika i hasło, a następnie wybierając pozycję Testuj , aby zweryfikować informacje.

Active Directory

Ostrożność

W przypadku zmiany uwierzytelniania z lokalnego na AD, LDAP lub Entra ID możesz stracić dostęp do swojej instancji CycleCloud. Dostęp jest kierowany do użytkowników, którzy mają zarówno konto lokalne, jak i mogą uwierzytelnić się na skonfigurowanym serwerze (hasła lokalne są ignorowane). Poniższe instrukcje pomagają chronić przed blokadą.

  1. Zaznacz pole wyboru, aby włączyć usługę Active Directory.
  2. Wprowadź adres URL serwera usługi Active Directory (począwszy od ldap:// lub ldaps://).
  3. Wprowadź domenę domyślną jako "DOMENA" lub "@domain.com", w zależności od tego, czy użytkownicy uwierzytelniają się przy użyciu nazw, takich jak "DOMENA\użytkownik" lub "user@domain.com" (UPN). Jeśli to pole pozostanie puste, użytkownicy muszą wprowadzić w pełni kwalifikowaną nazwę.
  4. Wybierz pozycję Testuj , aby upewnić się, że usługa CycleCloud może używać podanych ustawień. Użyj konta, które istnieje na serwerze uwierzytelniania.
  5. W osobnym oknie przeglądarki lub incognito zaloguj się jako konto domeny dodane w kroku 2.
  6. Jeśli logowanie w kroku 4 zakończy się pomyślnie, możesz wylogować się z pierwszej sesji. Uwierzytelnianie jest poprawnie skonfigurowane.

Konfiguracja usługi Active Directory

W poprzednim przykładzie przedstawiono przykładową konfigurację środowiska usługi Active Directory. Użytkownicy systemu Windows logują się jako EXAMPLE\username, więc wprowadź ciąg "EXAMPLE" jako domenę. Serwer ad.example.com obsługuje uwierzytelnianie, dlatego należy wprowadzić ldaps://ad.example.com jako adres URL.

Uwaga

Po nieudanej próbie uwierzytelnienia okno Ustawienia uwierzytelniania może nadal wyświetlać komunikat "Uwierzytelnianie nie powiodło się". Kliknięcie przycisku Anuluj i ponowne uruchomienie powoduje wyczyszczenie tej wiadomości. Pomyślne uwierzytelnienie zastępuje komunikat "Uwierzytelnianie nie powiodło się" komunikatem "Uwierzytelnianie powiodło się".

LDAP

  1. Zaznacz pole wyboru, aby włączyć uwierzytelnianie LDAP.
  2. Wprowadź odpowiednie ustawienia LDAP.
  3. Wybierz pozycję Testuj , aby upewnić się, że usługa CycleCloud może używać podanych ustawień. Użyj konta, które istnieje na serwerze uwierzytelniania.
  4. W osobnym oknie przeglądarki lub incognito zaloguj się jako konto domeny dodane w kroku 2.
  5. Jeśli uwierzytelnianie w kroku 4 zakończy się pomyślnie, możesz wylogować się z pierwszej sesji. Uwierzytelnianie jest poprawnie skonfigurowane.

Entra ID (WERSJA ZAPOZNAWCZA)

Konfigurowanie CycleCloud do uwierzytelniania i autoryzacji Entra

Uwaga

Musisz najpierw utworzyć aplikację Microsoft Entra. Jeśli jeszcze go nie utworzono, zobacz utwórz go teraz.

Konfiguracja graficznego interfejsu użytkownika

Aby włączyć uwierzytelnianie entra ID:

  1. Uruchom aplikację CycleCloud, a następnie przejdź do pozycji Ustawienia w prawym górnym rogu.
  2. Wybierz wiersz tabeli o nazwie Uwierzytelnianie i wybierz pozycję Konfiguruj lub kliknij dwukrotnie wiersz. W oknie dialogowym wybierz sekcję Entra ID. Ustawienie uwierzytelniania w graficznym interfejsie użytkownika usługi CycleCloud
  3. Zostanie wyświetlone okno z trzema sekcjami. Pozostań w sekcji Entra ID . Menu konfiguracji uwierzytelniania Entra ID
  4. Zaznacz pole wyboru Włącz uwierzytelnianie entra ID .
  5. Przejdź do strony Przegląd aplikacji Microsoft Entra w portalu Azure i wprowadź identyfikator dzierżawy i identyfikator klienta zgodnie z tymi wartościami.
  6. Domyślnie punkt końcowy jest ustawiony na https://login.microsoftonline.com (publiczny punkt końcowy). Można jednak również ustawić niestandardowy punkt końcowy, taki jak jeden dla środowiska chmury dla instytucji rządowych.
  7. Wybierz Zapisz, aby zapisać zmiany.

Konfigurowanie dostępu do węzłów klastra

Funkcja Zarządzania użytkownikami usługi CycleCloud dla klastrów systemu Linux wymaga klucza publicznego SSH dla użytkowników z dostępem uwierzytelniania do węzłów klastra. Po włączeniu uwierzytelniania i autoryzacji Microsoft Entra ID użytkownicy logują się do aplikacji CycleCloud przynajmniej raz, aby zainicjować zapis konta użytkownika. Następnie edytują swój profil, aby dodać publiczny klucz SSH.

CycleCloud automatycznie generuje identyfikatory UID i GID dla użytkowników. Jeśli jednak klaster uzyskuje dostęp do zasobów pamięci masowej, administrator może potrzebować jawnie ustawić identyfikatory UID i GID dla użytkowników, aby dopasować ich do istniejących użytkowników w systemie plików.

Te aktualizacje profilu użytkownika można również wykonać, tworząc wstępnie rekordy użytkowników jako alternatywę dla operacji graficznego interfejsu użytkownika. Aby uzyskać więcej informacji, zobacz Zarządzanie użytkownikami.

Korzystanie z uwierzytelniania za pomocą identyfikatora Entra w usłudze CycleCloud

Podczas uwierzytelniania w usłudze CycleCloud przy użyciu identyfikatora Entra system obsługuje następujące scenariusze:

  1. Pomyślne uwierzytelnianie zawsze resetuje role użytkownika, aby były zgodne z tymi skonfigurowanymi w Entra ID. Ponieważ domyślna żywotność tokenu dostępu wynosi godzinę, może być konieczne wylogowanie się i ponowne zalogowanie się, aby nowe role zaczęły obowiązywać.
  2. Jeśli uwierzytelnisz się jako użytkownik, którego wcześniej utworzyłeś, identyfikatora dzierżawy i identyfikatora obiektu może brakować przed pierwszym zalogowaniem. W takim przypadku usługa CycleCloud wysyła komunikat ostrzegawczy do dzienników i ustawia te wartości tak, aby były zgodne z wartościami pochodzącymi z tokenu Entra ID.
  3. Jeśli identyfikator obiektu lub identyfikator dzierżawy nie są zgodne z identyfikatorami w tokenie dostępu, usługa CycleCloud traktuje go jako błąd uwierzytelniania. Aby można było uwierzytelnić, musisz ręcznie usunąć stary rekord użytkownika.
  4. Jeśli zablokujesz sobie konto Super Użytkownika, zapominając o utworzeniu takiego, które można uwierzytelnić przy użyciu identyfikatora Entra, możesz wyłączyć uwierzytelnianie Entra ID w konsoli, uruchamiając polecenie ./cycle_server reset_access.
  5. Podczas tworzenia użytkowników za pomocą uwierzytelniania Entra ID, domyślnie nie mają skonfigurowanych publicznych kluczy SSH. Aby używać zarządzania użytkownikami w węzłach, należy ręcznie skonfigurować klucze.

Polityka haseł

Usługa Azure CycleCloud ma zintegrowane zasady haseł i środki zabezpieczeń. Konta tworzone za pomocą wbudowanej metody uwierzytelniania muszą mieć hasła o długości od 8 do 123 znaków. Hasła muszą spełniać co najmniej trzy z następujących czterech warunków:

  • Zawiera co najmniej jedną wielką literę
  • Zawiera co najmniej jedną małą literę
  • Zawiera co najmniej jedną liczbę
  • Zawiera co najmniej jeden znak specjalny: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

Administratorzy mogą wymagać od użytkowników zaktualizowania haseł w celu przestrzegania nowych zasad, wybierając pole Wymuszaj zmianę hasła w polu Następne logowanie na ekranie Edytuj konto .

Blokada bezpieczeństwa

Każde konto, które wykrywa pięć niepowodzeń autoryzacji w ciągu 60 sekund od siebie, automatycznie blokuje się przez pięć minut. Administratorzy mogą ręcznie odblokować konta lub użytkownicy mogą poczekać pięć minut.

  • Last updated on