共用方式為

用戶驗證

Azure CycleCloud 提供四種驗證方法:具有加密、Active Directory、LDAP 或 Microsoft Entra 標識符的內建資料庫。 若要選取並設定您的驗證方法,請從 [系統管理] 功能表(畫面右上方)開啟 [ 設定 ] 頁面,然後按兩下 [ 驗證]。 選擇您慣用的驗證方法,並遵循下列各節中的指示。

內建

CycleCloud 預設會使用簡單的資料庫授權配置。 系統會加密密碼,並將其儲存在資料庫中。 使用者會使用其預存的使用者名稱和密碼進行驗證。 若要使用此方法,請選取 [驗證] 頁面上的 [內建] 複選框。

您可以輸入使用者名稱和密碼來測試使用者的認證,然後選取 [ 測試 ] 以確認資訊。

Active Directory

謹慎

當您將身份驗證從本機變更為 AD、LDAP 或 Entra ID 時,可能會將自己鎖在 CycleCloud 實例之外。 存取權會傳送給同時擁有本機帳戶且可以向設定的伺服器進行驗證的使用者(會忽略本機密碼)。 下列指示可協助防止被鎖住。

  1. 選取複選框以啟用 Active Directory。
  2. 輸入 Active Directory 伺服器的 URL(從 ldap://ldaps:// 開始)。
  3. 根據您的使用者是否使用 「DOMAIN\user」 或 「」 (UPN) 等名稱進行驗證,輸入預設網域為 “DOMAIN” 或 “user@domain.com@domain.com”。 如果您將此欄位保留空白,用戶必須輸入其完整名稱。
  4. 選取 [測試 ] 以確定 CycleCloud 可以使用提供的設定。 使用存在於驗證伺服器上的帳戶。
  5. 在不同的瀏覽器或 incognito 視窗中,以您在步驟 2 中新增的網域帳戶身分登入。
  6. 如果步驟 4 中的登入成功,您可以登出您的第一個工作階段。 驗證已正確設定。

Active Directory 組態

上述範例顯示 Active Directory 環境的範例組態。 Windows 使用者以 EXAMPLE\username 身分登入,因此您會輸入 “EXAMPLE” 作為網域。 伺服器 ad.example.com 會處理驗證,因此您會輸入 ldaps://ad.example.com 作為URL。

備註

驗證嘗試失敗之後,[ 驗證設定 ] 視窗可能仍會顯示 [驗證失敗] 訊息。 按兩下 [取消 ],然後再次啟動會清除此訊息。 成功的驗證會將「驗證失敗」訊息取代為「驗證成功」。

LDAP

  1. 選取複選框以啟用LDAP驗證。
  2. 輸入適當的LDAP設定。
  3. 選取 [測試 ] 以確保 CycleCloud 可以使用提供的設定。 使用存在於驗證伺服器上的帳戶。
  4. 在不同的瀏覽器或 incognito 視窗中,以您在步驟 2 中新增的網域帳戶身分登入。
  5. 如果步驟 4 中的驗證成功,您可以登出您的第一個工作階段。 驗證已正確設定。

Entra ID (預覽)

設定 CycleCloud 以進行 Entra 驗證和授權

備註

您必須先建立Microsoft Entra 應用程式。 如果您尚未建立一個,請參閱 立即建立一個

GUI 組態

若要啟用 Entra ID 驗證:

  1. 啟動 CycleCloud,然後流覽至右上角的 [ 設定 ]。
  2. 選取名為 Authentication 的數據表數據列,然後選取 [ 設定 ] 或按兩下該資料列。 在快顯對話框中,選取 Entra ID 區段。 CycleCloud GUI 中的驗證設定
  3. 您會看到具有三個區段的視窗。 留在 Entra ID 區段中。 Entra ID 認證配置選單
  4. 選取 啟用 Entra ID 身分驗證 複選框。
  5. 移至 Azure 入口網站中Microsoft Entra 應用程式的 [概觀 ] 頁面, 然後根據這些值輸入租使用者標識碼和用戶端識別符。
  6. 根據預設,端點會設定為 https://login.microsoftonline.com (公用端點)。 不過,您也可以設定自定義端點,例如政府雲端環境的端點。
  7. 選取儲存以儲存變更。

設定叢集節點的存取權

Linux 叢集的 CycleCloud 使用者管理功能需要 SSH 公鑰,以便讓擁有叢集節點驗證訪問權限的使用者存取。 當您啟用Microsoft Entra ID 驗證和授權時,使用者至少登入 CycleCloud 一次,以初始化其用戶帳戶記錄。 然後,他們會編輯其配置檔以新增其公用 SSH 金鑰。

CycleCloud 會自動為用戶產生 UID 和 GID。 但是,如果叢集存取永續性記憶體資源,系統管理員可能需要為使用者明確設定 UID 和 GID,以符合文件系統上的現有使用者。

您也可以藉由預先建立使用者記錄作為 GUI 作業的替代方案來執行這些使用者設定檔更新。 如需詳細資訊,請參閱 使用者管理

搭配 CycleCloud 使用 Entra ID 驗證

當您使用 Entra ID 向 CycleCloud 進行驗證時,系統支援下列案例:

  1. 成功的驗證一律會重設使用者角色,以符合在 Entra ID 中設定的使用者角色。 由於存取令牌的預設存留期為一小時,您可能需要註銷並重新登入,讓新角色生效。
  2. 如果您以預先建立的使用者身分進行驗證,則第一次登入之前,可能會遺失租使用者標識碼和對象標識碼。 在此情況下,CycleCloud 會將警告訊息傳送至記錄,並設定這些值以符合來自 Entra ID 令牌的值。
  3. 如果對象識別碼或租使用者標識碼不符合存取令牌中的標識碼,CycleCloud 會將它視為驗證錯誤。 您必須先手動移除舊的用戶記錄,才能進行驗證。
  4. 如果您因忘記建立可使用您的 Entra ID 進行驗證的超級使用者帳戶,而將自己鎖定在超級使用者帳戶之外,則可以透過執行 ./cycle_server reset_access 在主控台中停用 Entra ID 驗證。
  5. 當您透過 Entra ID 驗證建立使用者時,預設不會設定公用 SSH 金鑰。 若要在節點上使用使用者管理,您必須手動設定金鑰。

密碼原則

Azure CycleCloud 具有整合式密碼原則和安全性措施。 您使用內建驗證方法建立的帳戶必須具有長度介於8到123個字元之間的密碼。 密碼必須符合下列四個條件中的至少三個:

  • 包含至少一個大寫字母
  • 至少包含一個小寫字母
  • 至少包含一個數字
  • 至少包含特殊字元: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

系統管理員可以要求使用者更新密碼,以遵循新原則,方法是選取 [編輯帳戶] 畫面內的 [下一個登入] 方塊中的 [強制密碼變更]。

安全鎖定

在任何帳戶於60秒內遭偵測到五次授權失敗後,該帳戶將自動鎖定五分鐘。 系統管理員可以手動解除鎖定帳戶,或者使用者可以等候五分鐘。

  • Last updated on