Helyi fiókok kezelése az AKS által felügyelt Microsoft Entra-integrációval

AKS-fürt üzembe helyezésekor a helyi fiókok alapértelmezés szerint engedélyezve vannak. Az RBAC- vagy a Microsoft Entra-integráció --admin engedélyezése esetén a hozzáférés továbbra is létezik nem auditozható backdoor lehetőségként. Ez a cikk bemutatja, hogyan tilthatja le a helyi fiókokat egy meglévő fürtön, hogyan hozhat létre új fürtöt letiltott helyi fiókokkal, és hogyan engedélyezheti újra a helyi fiókokat a meglévő fürtökön.

Előkészületek

• Tekintse meg az AKS által felügyelt Microsoft Entra-integráció áttekintését és beállítási utasításait.

Helyi fiókok letiltása

A helyi fiókokat a paraméterrel disable-local-accountsletilthatja. A properties.disableLocalAccounts mező hozzá lett adva a felügyelt fürt API-hoz, hogy jelezze, hogy a szolgáltatás engedélyezve van-e vagy sem a fürtön.

Megjegyzés:

• A Microsoft Entra-integrációt engedélyező fürtök esetén a megadott aad-admin-group-object-ids Microsoft Entra-rendszergazdai csoporthoz rendelt felhasználók továbbra is hozzáférhetnek nem rendszergazdai hitelesítő adatokkal. A Microsoft Entra-integrációval és beállítással truenem rendelkező properties.disableLocalAccounts fürtöken a felhasználói vagy rendszergazdai hitelesítő adatokkal történő hitelesítés minden kísérlete sikertelen lesz.

• Miután letiltotta a helyi felhasználói fiókokat egy meglévő AKS-fürtön, ahol a felhasználók helyi fiókokkal hitelesítettek, a rendszergazdának el kell forgatnia a fürttanúsítványokat , hogy visszavonja azokat a tanúsítványokat, amelyekhez hozzáféréssel rendelkezhettek. Ha ez egy új fürt, nincs szükség műveletre.

Új fürt létrehozása helyi fiókok nélkül

1. Hozzon létre egy új AKS-fürtöt helyi fiókok nélkül a az aks create jelölővel ellátott disable-local-accounts paranccsal.

   az aks create -g <resource-group> -n <cluster-name> --enable-aad --aad-admin-group-object-ids <aad-group-id> --disable-local-accounts
   

2. A kimenetben győződjön meg arról, hogy a helyi fiókok le vannak tiltva, ha ellenőrzi, hogy a mező properties.disableLocalAccounts be van-e állítva true.

   "properties": {
       ...
       "disableLocalAccounts": true,
       ...
   }
   

3. Futtassa a az aks get-credentials parancsot annak ellenőrzéséhez, hogy a fürt a helyi fiókok letiltására van-e beállítva.

   az aks get-credentials --resource-group <resource-group> --name <cluster-name> --admin
   

   A kimenetnek a következő hibaüzenetnek kell megjelennie, amely azt jelzi, hogy a funkció megakadályozza a hozzáférést:

   Operation failed with status: 'Bad Request'. Details: Getting static credential isn't allowed because this cluster is set to disable local accounts.
   

Helyi fiókok letiltása meglévő fürtön

1. Tiltsa le a helyi fiókokat egy meglévő Microsoft Entra-integrációt engedélyező AKS-fürtön a az aks updatedisable-local-accounts paraméterrel rendelkező paranccsal.

   az aks update -g <resource-group> -n <cluster-name> --disable-local-accounts
   

2. A kimenetben győződjön meg arról, hogy a helyi fiókok le vannak tiltva, ha ellenőrzi, hogy a mező properties.disableLocalAccounts be van-e állítva true.

   "properties": {
       ...
       "disableLocalAccounts": true,
       ...
   }
   

3. Futtassa a az aks get-credentials parancsot annak ellenőrzéséhez, hogy a fürt a helyi fiókok letiltására van-e beállítva.

   az aks get-credentials --resource-group <resource-group> --name <cluster-name> --admin
   

   A kimenetnek a következő hibaüzenetnek kell megjelennie, amely azt jelzi, hogy a funkció megakadályozza a hozzáférést:

   Operation failed with status: 'Bad Request'. Details: Getting static credential isn't allowed because this cluster is set to disable local accounts.
   

Helyi fiókok újbóli engedélyezése meglévő fürtön

1. Engedélyezze újra a letiltott helyi fiókot egy meglévő fürtön a az aks update paraméterrel rendelkező enable-local-accounts paranccsal.

   az aks update -g <resource-group> -n <cluster-name> --enable-local-accounts
   

2. A kimenetben győződjön meg arról, hogy a helyi fiókok újra engedélyezve vannak, ha ellenőrzi, hogy a mező properties.disableLocalAccounts be van-e állítva false.

   "properties": {
       ...
       "disableLocalAccounts": false,
       ...
   }
   

3. Futtassa a az aks get-credentials parancsot annak ellenőrzéséhez, hogy a fürt engedélyezve van-e a helyi fiókok számára.

   az aks get-credentials --resource-group <resource-group> --name <cluster-name> --admin
   

   A kimenetnek a következő üzenetnek kell megjelennie, amely jelzi, hogy sikeresen engedélyezte a helyi fiókokat a fürtben:

   Merged "<cluster-name>-admin" as current context in C:\Users\<username>\.kube\config
   

Következő lépések

• További információ a Kubernetes-engedélyezés Azure RBAC-integrációjáról.