Delen via


Clustergebruikersbeheer

Er zijn voornamelijk twee mechanismen voor het inschakelen van aanmeldingstoegang tot clusterknooppunten: via de ingebouwde verificatie van CycleCloud of door knooppunten te integreren met een adreslijstservice zoals Active Directory of LDAP.

De gebruiker van de VM-agent

Elke Azure-VM die is gestart en beheerd via CycleCloud, heeft een beheerder met de naam cyclecloud die wordt gemaakt door de VM-agent. De persoonlijke SSH-sleutel voor deze gebruiker vindt u op /opt/cycle_server/.ssh/cyclecloud.pem in de CycleCloud-toepassingsserver. Deze sleutel wordt gegenereerd tijdens het installatieproces en is uniek voor elke installatie.

Deze gebruiker bestaat lokaal op elke VM en moet worden behandeld als een servicegebruiker met beheerderstoegang. Dit gebruikersaccount kan echter handig zijn voor het oplossen van problemen.

Als u verbinding wilt maken met een knooppunt als cyclecloud, voert u de volgende opdracht uit:

ssh -i /opt/cycle_server/.ssh/cyclecloud.pem cyclecloud@${NODE-IP-Address}

U kunt ook de CycleCloud CLI gebruiken:

cp /opt/cycle_server/.ssh/cyclecloud.pem ~/.ssh 
cyclecloud connect [node] -c [cluster] -u cyclecloud

Built-In Gebruikersbeheer

CycleCloud wordt geleverd met een ingebouwd gebruikersbeheersysteem waarmee lokale gebruikersaccounts op elke VM worden gemaakt. Deze lokale gebruikersaccounts worden gemaakt voor elke gebruiker met aanmeldingsmachtigingen voor het cluster. Daarnaast hebben gebruikers met de machtiging knooppuntbeheerder beheerdersbevoegdheden (sudo) voor elke VM in het cluster. Deze machtigingen kunnen worden verleend via eigendom van het cluster, door expliciet machtigingen voor het cluster te delen of door gebruikers toe te wijzen aan een rol die globale aanmeldingstoegang verleent. Zie CycleCloud-gebruikersbeheer voor meer informatie over het toewijzen van rollen aan gebruikers.

De lijst met gebruikers met aanmeldingstoegang tot knooppunten is zichtbaar op de clusterpagina onder Gebruikers. Als u de koppeling Weergeven selecteert, wordt er een dialoogvenster geopend met meer informatie.

Dialoogvenster Clustergebruikers

In dit dialoogvenster ziet u elke afzonderlijke gebruiker en de status van gebruikersbeheer op elk afzonderlijk knooppunt in het cluster. Eventuele fouten of waarschuwingen bij het configureren van gebruikers (zoals een UID-conflict of een niet-toegestane gebruikersnaam) worden hier weergegeven. Omdat gebruikers worden beheerd via de jetpackd daemon op elk knooppunt, is het mogelijk om wijzigingen aan te brengen in actieve clusters.

Aanmelden bij knooppunten

Gebruikersverificatie is gebaseerd op een SSH-sleutel. De openbare sleutel voor elke gebruiker met aanmeldingstoegang wordt verkregen van de bijbehorende gebruiker in CycleCloud en op elke VM gefaseerd. Als de gebruiker geen openbare sleutel heeft, wordt het lokale gebruikersaccount nog steeds gemaakt, maar kan de gebruiker zich niet aanmelden totdat een sleutel handmatig is gefaseerd.

Voor clusters met een NFS-server is de basismap voor elke gebruiker beschikbaar op de NAS met de basismap /shared/home. Voor clusters zonder een NFS-server is de basisbasismap /home en die is lokaal voor elke VM van het cluster.

Toegang intrekken

Als de gebruiker aanmeldingstoegang heeft gekregen via een gedeelde machtiging, verwijdert u deze gedeelde machtigingen met behulp van de koppeling Toegang op de clusterpagina. Als de gebruiker de rol Global Node Beheer of Global Node User heeft, moet een beheerder deze rollen verwijderen op het tabblad Gebruikers van de pagina Instellingen.

Notitie

Gebruikersaccounts worden niet verwijderd op actieve knooppunten. In plaats daarvan wordt de aanmeldingsshell voor deze ingetrokken gebruikersaccounts gewijzigd in /sbin/nologin. Dit weigert verdere aanmeldingstoegang zonder gegevens van de gebruiker te vernietigen.

Het Built-In User Management System uitschakelen

Het ingebouwde gebruikersbeheersysteem is standaard ingeschakeld voor elke CycleCloud-installatie en is een instelling voor de hele installatie. Dit is ingeschakeld voor alle clusters die worden beheerd door de CycleCloud-server. Als u dit wilt uitschakelen, gaat u naar de sectie CycleCloud van de pagina Instellingen . Het pop-upvenster bevat een optie voor Knooppuntverificatie en als u Uitgeschakeld selecteert in de vervolgkeuzelijst, zorgt u ervoor dat er geen lokale gebruikersaccounts worden gemaakt, afgezien van de gebruiker van de VM-agent.

Knooppuntverificatie uitschakelen

Beheersystemen voor gebruikers van derden

Voor bedrijfsproductieclusters wordt aanbevolen dat gebruikerstoegang wordt beheerd via een adreslijstservice zoals LDAP, Active Directory of NIS. Deze integratie kan worden geïmplementeerd door PAM en NSS te configureren in de VM-installatiekopieën die op elk knooppunt worden gebruikt, of door CycleCloud-projecten te maken die worden uitgevoerd tijdens de software-installatiefase van elk knooppunt.

De Azure Active Directory-domein Service biedt een beheerde service voor Active Directory-servers. Instructies voor het toevoegen van een Linux-domein vindt u hier.