Azure CycleCloud 提供四種驗證方法:具有加密、Active Directory、LDAP 或 Entra 標識符的內建資料庫。 若要選取並設定您的驗證方法,請從 [系統管理] 功能表開啟 [ 設定 ] 頁面(畫面右上方),然後按兩下 [ 驗證]。 選擇您慣用的驗證方法,並遵循下列指示。
內建
CycleCloud 預設會使用簡單的資料庫授權配置。 密碼會加密並儲存在資料庫中,而用戶會根據其預存的使用者名稱和密碼進行驗證。 若要選取此方法,請按兩下 [驗證] 頁面上的 [Built-In] 複選框。
您可以輸入使用者名稱和密碼,然後按下 [ 測試 ] 來驗證資訊,以測試使用者的認證。
Active Directory
謹慎
從本機變更為 AD、LDAP 或 Entra ID 驗證時,可能會將自己鎖在 CycleCloud 執行個體之外。 擁有本機帳戶且能驗證設定的伺服器的使用者會被授予存取權(會忽略本機密碼)。 下列指示會努力防範鎖定。
- 按兩下複選框以啟用 Active Directory。
- 輸入 Active Directory 伺服器的 URL(從 ldap:// 或 ldaps:// 開始)
- 根據您的使用者是否以 「DOMAIN\user」 或 「user@domain.com」 (UPN) 等名稱進行驗證,以 “DOMAIN” 或 “@domain.com” 的形式輸入預設網域。 如果此欄位保留空白,用戶必須輸入其完整名稱。
- 按兩下 [測試 ] 以確保 CycleCloud 可以使用提供的設定。 使用存在於驗證伺服器上的帳戶。
- 在不同的瀏覽器或 incognito 視窗中,以您在步驟 2 中新增的網域帳戶身分登入。
- 如果步驟 4 中的登入成功,您可以登出第一個工作階段。 驗證已正確設定。
上述範例顯示 Active Directory 環境的範例組態。 Windows 使用者以 EXAMPLE\username 身分登入,因此會將 “EXAMPLE” 輸入為網域。 驗證是由伺服器 ad.example.com 處理,因此 ldaps://ad.example.com 輸入為URL。
備註
驗證嘗試失敗之後,[驗證失敗] 訊息仍會顯示在 [ 驗證設定 ] 視窗中。 按兩下 [取消 ],然後再次啟動將會清除此訊息。 成功的驗證會將「驗證失敗」訊息取代為「驗證成功」。
LDAP
- 按兩下複選框以啟用LDAP驗證。
- 輸入適當的LDAP設定。
- 按兩下 [測試] 以確保 CycleCloud 可以使用提供的設定。 使用存在於驗證伺服器上的帳戶。
- 在不同的瀏覽器或 incognito 視窗中,以您在步驟 2 中新增的網域帳戶身分登入。
- 如果步驟 4 中的登入成功,您可以登出第一個工作階段。 驗證已正確設定。
Entra ID (預覽)
設定 CycleCloud 以進行 Entra 驗證和授權
備註
您必須先建立Microsoft Entra 應用程式。 如果您尚未建立一個,請 立即建立一個
GUI 組態
若要啟用 Entra ID 驗證:
- 啟動 Cyclecloud,然後流覽至右上角的 [ 設定 ]
- 選取名為 驗證 的資料列,然後點擊 設定 或按兩下該資料列。 在快顯對話框中,選取 Entra ID 區段。
- 然後,您會看到具有三個區段的視窗。 留在 Entra ID 區段中。
- 勾選 啟用 Entra ID 驗證 複選框。
- 在 Azure 入口網站中尋找您Microsoft Entra 應用程式的 [概觀 ] 頁面, 並根據這些值填入租使用者識別碼和用戶端標識碼。
- 根據預設,端點會設定為
https://login.microsoftonline.com
(公用端點)。 不過,您也可以設定自定義端點,例如政府雲端環境的端點。 - 按 [儲存] 以儲存變更。
設定叢集節點的存取權
Linux 叢集的 CycleCloud 使用者管理功能需要具有叢集節點登入存取權的使用者 SSH 公鑰。 啟用 Entra ID 驗證和授權時,使用者至少應該登入 CycleCloud 一次,以初始化其使用者帳戶記錄,然後編輯其配置檔以新增其公用 SSH 密鑰。
CycleCloud 會自動為用戶產生 UID 和 GID。 但是,如果叢集將存取永續性記憶體資源,系統管理員可能需要為使用者明確設定UID/GID,以符合文件系統上的現有使用者。
這些使用者配置檔更新也可以藉由預先建立用戶記錄作為 GUI 作業的替代方案來執行。 如需詳細資訊,請參閱 使用者管理 。
搭配 CycleCloud 使用 Entra ID 驗證
嘗試使用 Entra ID 向 CycleCloud 進行驗證時,支援的情境如下:
- 成功的驗證一律會重設使用者角色,以符合在 Entra ID 中設定的使用者角色。 請注意,由於存取令牌的預設存留期為一小時,因此可能需要您註銷並重新登入,才能設定新的角色。
- 如果您要驗證的使用者已預先建立,那麼租戶 ID 和物件 ID 有可能在第一次登入之前未設定為任何值。 這會導致將警告訊息傳送至記錄,而這些值會設定為符合來自 Entra ID 令牌的值。
- 如果基於任何原因,物件標識碼和/或租使用者標識碼不符合存取令牌中的標識符,則會被視為驗證錯誤。 必須先手動移除舊用戶記錄,此使用者才能進行驗證。
- 如果您忘記建立可使用您的 Entra ID 進行驗證的帳戶,而將自己鎖定無法使用超級使用者帳戶,您可以執行
./cycle_server reset_access
來停用 Entra ID 驗證 - 透過 Entra ID 驗證建立的用戶預設不會設定公用 SSH 金鑰,因此您必須手動設定它們,才能在節點上使用使用者管理。
密碼原則
Azure CycleCloud 具有整合式密碼原則和安全性措施。 使用內建驗證方法建立的帳戶必須長度介於8到123個字元之間,且至少符合下列4個條件中的3個:
- 包含至少一個大寫字母
- 包含至少一個小寫字母
- 至少包含一個數位
- 至少包含一個特殊字元:@ # $ % ^ & * - _ ! + = [ ] { } |\ : ' , . ? ~ " ( ) ;
系統管理員可以要求使用者更新密碼,以遵循新原則,方法是在 [編輯帳戶 ] 畫面內選取 [強制變更密碼] 方塊。
安全鎖定
偵測到 60 秒內 5 個授權失敗的任何帳戶都會自動鎖定 5 分鐘。 系統管理員可以手動解除鎖定帳戶,或只等候五分鐘。