Compartir a través de

Administración de usuarios del clúster

  • Artículo

Hay principalmente dos mecanismos para habilitar el acceso de inicio de sesión a los nodos del clúster, a través de la autenticación integrada de CycleCloud o mediante la integración de nodos con un servicio de directorio como Active Directory o LDAP.

El usuario del agente de máquina virtual

Cada máquina virtual de Azure iniciada y administrada a través de CycleCloud tiene un usuario administrador denominado cyclecloud creado por el agente de máquina virtual. La clave privada SSH para este usuario se puede encontrar en /opt/cycle_server/.ssh/cyclecloud.pem en el servidor de aplicaciones de CycleCloud. Esta clave se genera durante el proceso de instalación y es única para cada instalación.

Este usuario existe localmente en cada máquina virtual y debe tratarse como un usuario de servicio con acceso de administrador. Sin embargo, esta cuenta de usuario puede ser útil para solucionar problemas.

Para conectarse a un nodo como cyclecloud, ejecute el siguiente comando:

ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}

Como alternativa, use la CLI de CycleCloud:

cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh 
cyclecloud connect [node] -c [cluster] -u cyclecloud

administración de usuarios de Built-In

CycleCloud incluye un sistema de administración de usuarios integrado que crea cuentas de usuario locales en cada máquina virtual. Estas cuentas de usuario locales se crean para cada usuario con permisos de inicio de sesión en el clúster. Además, los usuarios con el permiso de administrador del nodo tendrán privilegios de administrador (sudo) para cada máquina virtual del clúster. Estos permisos se pueden conceder mediante la propiedad del clúster, compartiendo explícitamente permisos en el clúster o asignando usuarios a un rol que conceda acceso de inicio de sesión global. Consulte Administración de usuarios de CycleCloud para obtener más información sobre cómo asignar roles a los usuarios.

La lista de usuarios con acceso de inicio de sesión a los nodos está visible en la página del clúster en Usuarios. Al seleccionar el vínculo mostrar , se abrirá un cuadro de diálogo con más información.

Cuadro de diálogo Usuarios del clúster

En este cuadro de diálogo se muestra cada usuario individual, así como el estado de la administración de usuarios en cada nodo individual del clúster. Los errores o advertencias al configurar usuarios (como un conflicto de UID o un nombre de usuario no permitido) se mostrarán aquí. Dado que los usuarios se administran a través del jetpackd demonio en cada nodo, es posible realizar cambios en los clústeres en ejecución.

Inicio de sesión en nodos

La autenticación de usuario se basa en la clave SSH. La clave pública de cada usuario con acceso de inicio de sesión se obtiene del usuario correspondiente de CycleCloud y se almacena provisionalmente en cada máquina virtual. Si el usuario no tiene una clave pública, se sigue creando la cuenta de usuario local, pero el usuario no podrá iniciar sesión hasta que se almacene manualmente una clave provisional.

En el caso de los clústeres con un servidor NFS, el directorio principal de cada usuario está disponible en el NAS con el directorio principal base /shared/home. En el caso de los clústeres sin un servidor NFS, el directorio principal base es /home y es local para cada máquina virtual del clúster.

Revocar el acceso

Si al usuario se le concedió acceso de inicio de sesión a través de un permiso compartido, basta con quitar esos permisos compartidos mediante el vínculo Acceso en la página del clúster. Si el usuario tiene el rol "Nodo global Administración" o "Usuario de nodo global", un administrador debe quitar esos roles en la pestaña usuarios de la página Configuración.

Nota:

Las cuentas de usuario no se eliminan en los nodos en ejecución. En su lugar, el shell de inicio de sesión de estas cuentas de usuario revocadas se cambia a /sbin/nologin. Esto deniega el acceso de inicio de sesión adicional sin destruir ninguno de los datos del usuario.

Deshabilitación del sistema de administración de usuarios de Built-In

El sistema de administración de usuarios integrado está habilitado de forma predeterminada en cada instalación de CycleCloud y es una configuración para toda la instalación; todos los clústeres administrados por el servidor cycleCloud tendrán esto habilitado. Para deshabilitarlo, vaya a la sección CycleCloud de la página Configuración . El cuadro emergente contiene una opción para la autenticación de nodo y al seleccionar Deshabilitado en la lista desplegable se asegurará de que no se crearán cuentas de usuario locales aparte del usuario del agente de máquina virtual.

Deshabilitar la autenticación de nodo

Sistemas de administración de usuarios de terceros

En el caso de los clústeres de producción empresarial, se recomienda que el acceso de los usuarios se administre a través de un servicio de directorio como LDAP, Active Directory o NIS. Esta integración se puede implementar mediante la configuración de PAM y NSS en las imágenes de máquina virtual que se usan en cada nodo o la creación de proyectos de CycleCloud que se ejecutan durante la fase de instalación de software de cada nodo.

El servicio Azure Dominio de Active Directory proporciona un servicio administrado para servidores de Active Directory y puede encontrar instrucciones para unir un dominio de Linux aquí.