Поделиться через

проверка подлинности пользователей;

  • Статья

Azure CycleCloud предлагает четыре метода проверки подлинности: встроенную базу данных с шифрованием, Active Directory, LDAP или Entra ID. Чтобы выбрать и настроить метод проверки подлинности, откройте страницу Параметры в меню Администратор (в правом верхнем углу экрана) и дважды щелкните элемент Проверка подлинности. Выберите предпочтительный метод проверки подлинности и следуйте приведенным ниже инструкциям.

Built-In

По умолчанию CycleCloud использует простую схему авторизации базы данных. Пароли шифруются и хранятся в базе данных, а пользователи проходят проверку подлинности с помощью сохраненных имени пользователя и пароля. Чтобы выбрать этот метод, щелкните поле проверка для Built-In на странице Проверка подлинности.

Вы можете проверить учетные данные пользователя, введя имя пользователя и пароль, а затем щелкнув Проверить , чтобы проверить информацию.

Active Directory

Внимание!

При переходе с локальной проверки подлинности на AD, LDAP или Entra ID можно заблокировать экземпляр CycleCloud. Доступ будет предоставлен пользователям, у которых есть локальная учетная запись и которые могут проходить проверку подлинности на сервере (локальные пароли будут игнорироваться). Приведенные ниже инструкции позволяют защититься от блокировки.

  1. Щелкните поле проверка, чтобы включить Active Directory.
  2. Введите URL-адрес сервера Active Directory (начиная с ldap:// или ldaps://).
  3. Введите домен по умолчанию в формате "ДОМЕН" или "@domain.com" в зависимости от того, проходят ли пользователи проверку подлинности с помощью таких имен, как "ДОМЕН\пользователь" или "user@domain.com" (UPN). Если это поле оставить пустым, пользователи должны ввести свое полное имя.
  4. Щелкните Тест, чтобы убедиться, что CycleCloud может использовать предоставленные параметры. Используйте учетную запись, которая существует на сервере проверки подлинности.
  5. В отдельном браузере или окне инкогнито войдите в качестве учетной записи домена, добавленной на шаге 2.
  6. Если вход на шаге 4 выполнен успешно, вы можете выйти из первого сеанса. Проверка подлинности настроена правильно.

Настройка в Active Directory

В приведенном выше примере показан пример конфигурации для среды Active Directory. Пользователи Windows входят в систему как EXAMPLE\username, поэтому в качестве домена вводится "EXAMPLE". Проверка подлинности выполняется серверным ad.example.com, поэтому в качестве URL-адреса вводится ldaps://ad.example.com .

Примечание

После неудачной попытки проверки подлинности сообщение "Сбой проверки подлинности" может по-прежнему отображаться в окне Параметры проверки подлинности . При нажатии кнопки Отмена и повторном запуске это сообщение будет очищено. При успешной проверке подлинности сообщение "Сбой проверки подлинности" будет заменено на "Проверка подлинности выполнена успешно".

LDAP

  1. Щелкните поле проверка, чтобы включить проверку подлинности LDAP.
  2. Введите соответствующие параметры LDAP.
  3. Нажмите кнопку "Тест", чтобы убедиться, что CycleCloud может использовать предоставленные параметры. Используйте учетную запись, которая существует на сервере проверки подлинности.
  4. В отдельном браузере или окне инкогнито войдите в качестве учетной записи домена, добавленной на шаге 2.
  5. Если вход на шаге 4 выполнен успешно, вы можете выйти из первого сеанса. Проверка подлинности настроена правильно.

Идентификатор Entra (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ)

Настройка CycleCloud для проверки подлинности и авторизации Entra

Примечание

Сначала необходимо создать приложение Microsoft Entra. Если вы еще не создали его, создайте его сейчас.

Конфигурация графического пользовательского интерфейса

Чтобы включить проверку подлинности Entra ID, выполните следующие действия.

  1. Запустите Cyclecloud и перейдите в раздел Параметры в правом верхнем углу.
  2. Выберите строку таблицы с именем Authentication (Проверка подлинности ) и нажмите кнопку Настроить или дважды щелкните строку. Во всплывающем диалоговом окне выберите раздел Идентификатор Записи . Параметр проверки подлинности в графическом пользовательском интерфейсе CycleCloud
  3. Затем вы увидите окно с тремя разделами. Оставайтесь в разделе Идентификатор Entra . Меню конфигурации проверки подлинности entra ID
  4. Установите флажок Включить проверку подлинности Entra ID .
  5. На портале Azure найдите страницу Обзор приложения Microsoft Entra и укажите идентификатор клиента и идентификатор клиента на основе этих значений.
  6. По умолчанию для конечной точки задано значение https://login.microsoftonline.com (общедоступная конечная точка). Однако вы также можете задать пользовательскую конечную точку, например конечную точку для облачной среды для государственных организаций.
  7. Нажмите кнопку Сохранить , чтобы сохранить изменения.

Настройка доступа к узлам кластера

Для функции Управления пользователями CycleCloud для кластеров Linux требуется открытый ключ SSH для пользователей с доступом для входа в узлы кластера. Если проверка подлинности и авторизация Entra ID включены, пользователи должны войти в CycleCloud по крайней мере один раз, чтобы инициализировать запись учетной записи пользователя, а затем изменить профиль, добавив открытый ключ SSH.

CycleCloud автоматически создаст UID и GID для пользователей. Но если кластер будет обращаться к ресурсам постоянного хранилища, администратору может потребоваться явно задать UID/GID для пользователей в соответствии с существующими пользователями в файловой системе.

Эти обновления профиля пользователя также можно выполнить путем предварительного создания записей пользователей в качестве альтернативы операции графического пользовательского интерфейса. Дополнительные сведения см. в разделе Управление пользователями .

Использование проверки подлинности Entra ID с CycleCloud

Попытка проверки подлинности с помощью CycleCloud с помощью Entra ID имеет следующие поддерживаемые сценарии:

  1. При успешной проверке подлинности роли пользователя всегда сбрасываются в соответствии с теми, которые настроены в Entra ID. Обратите внимание, что, так как срок жизни маркера доступа по умолчанию составляет час, может потребоваться выйти из системы и снова войти в систему, чтобы задать новые роли.
  2. Если пользователь, как вы выполняете проверку подлинности, был предварительно создан, можно, чтобы идентификатор клиента и идентификатор объекта не были заданы до первого входа. В результате появится предупреждающее сообщение, которое будет отправлено в журналы, и эти значения будут заданы в соответствии с значениями, поступающими из маркера идентификатора Entra.
  3. Если по какой-либо причине идентификатор объекта и (или) идентификатор клиента не совпадают с идентификаторами в маркере доступа, это считается ошибкой проверки подлинности. Прежде чем этот пользователь сможет пройти проверку подлинности, необходимо удалить старую запись пользователя вручную.
  4. Если вы заблокируете учетную запись суперпользования, забыв создать учетную запись, которая может быть проверена с помощью идентификатора Entra ID, вы можете отключить проверку подлинности Entra ID с помощью консоли, выполнив команду . ./cycle_server reset_access
  5. Для пользователей, созданных с помощью проверки подлинности Entra ID, по умолчанию не настроены открытые ключи SSH, поэтому для использования управления пользователями на узлах потребуется настроить их вручную.

Политика паролей

В Azure CycleCloud есть интегрированная политика паролей и меры безопасности. Учетные записи, созданные с помощью встроенного метода проверки подлинности, должны иметь пароли длиной от 8 до 123 символов и соответствовать по крайней мере 3 из следующих 4 условий:

  • Содержать по крайней мере одну прописную букву
  • Содержать по крайней мере одну строчную букву
  • Содержать хотя бы одно число
  • Содержит по крайней мере один специальный символ: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

Администраторы могут требовать от пользователей обновления паролей для выполнения новой политики, выбрав поле "Принудительное изменение пароля при следующем входе" на экране Изменение учетной записи .

Блокировка безопасности

Любая учетная запись, которая обнаруживает 5 ошибок авторизации в течение 60 секунд друг от друга, будет автоматически заблокирована на 5 минут. Учетные записи могут быть разблокированы вручную администратором или просто подождать пять минут.