共用方式為

使用者驗證

  • 發行項

Azure CycleCloud 提供四種驗證方法:具有加密、Active Directory、LDAP 或 Entra 標識符的內建資料庫。 若要選取並設定您的驗證方法,請從畫面右上方的 [管理員 (] 功能表開啟 [設定] 頁面) ,然後按兩下 [驗證]。 選擇您慣用的驗證方法,並遵循下列指示。

Built-In

CycleCloud 預設會使用簡單的資料庫授權配置。 密碼會加密並儲存在資料庫中,而且用戶會根據其儲存的使用者名稱和密碼進行驗證。 若要選取此方法,請按兩下 [驗證] 頁面上 Built-In 的複選框。

您可以輸入使用者名稱和密碼,然後按下 [ 測試 ] 來驗證資訊,以測試使用者的認證。

Active Directory

警告

從本機變更為 AD、LDAP 或 Entra ID 驗證時,可以自行鎖定 CycleCloud 實例。 存取權會授與具有本機帳戶的使用者,而且可以向設定的伺服器進行驗證, (本機密碼將會忽略) 。 下列指示會努力防止鎖定。

  1. 按兩下複選框以啟用 Active Directory。
  2. 輸入 Active Directory 伺服器的 URL, (開頭為 ldap://ldaps://)
  3. 根據您的使用者是否使用 「DOMAIN\user」 或 「user@domain.com」 等名稱進行驗證,以 「DOMAIN」 或 domain.com 「的形式輸入預設網域, (UPN) 。 如果此欄位保留空白,用戶必須輸入其完整名稱。
  4. 按兩下 [測試 ] 以確保 CycleCloud 可以使用提供的設定。 使用存在於驗證伺服器上的帳戶。
  5. 在不同的瀏覽器或 incognito 視窗中,以您在步驟 2 中新增的網域帳戶登入。
  6. 如果步驟 4 中的登入成功,您可以註銷第一個會話。 驗證已正確設定。

Active Directory 組態

上述範例顯示 Active Directory 環境的範例組態。 Windows 使用者以 EXAMPLE\username 身分登入,因此會將 “EXAMPLE” 輸入為網域。 驗證是由伺服器 ad.example.com 處理,因此 ldaps://ad.example.com 輸入為URL。

注意

嘗試驗證失敗之後,[驗證失敗] 訊息仍會顯示在 [ 驗證設定 ] 視窗中。 按兩下 [取消 ] 並再次啟動將會清除此訊息。 成功的驗證會將「驗證失敗」訊息取代為「驗證成功」。

LDAP

  1. 按兩下複選框以啟用LDAP驗證。
  2. 輸入適當的LDAP設定。
  3. 按兩下 [測試] 以確保 CycleCloud 可以使用提供的設定。 使用存在於驗證伺服器上的帳戶。
  4. 在不同的瀏覽器或 incognito 視窗中,以您在步驟 2 中新增的網域帳戶登入。
  5. 如果步驟 4 中的登入成功,您可以註銷第一個會話。 驗證已正確設定。

專案識別碼 (PREVIEW)

設定 CycleCloud 以進行專案驗證和授權

注意

您必須先建立 Microsoft Entra 應用程式。 如果您尚未建立一個,請 立即建立一個

GUI 組態

若要啟用 Entra ID 驗證:

  1. 啟動 Cyclecloud,然後流覽至右上角的 [ 設定 ]
  2. 選取名為 [驗證 ] 的數據表數據列,然後按兩下 [ 設定 ] 或按兩下資料列。 在快顯對話框中,選取 [項目標識符 ] 區段。 CycleCloud GUI 中的驗證設定
  3. 然後,您會看到具有三個區段的視窗。 留在 [項目標識符 ] 區段中。 專案標識子驗證組態功能表
  4. 核取 [ 啟用項目識別碼驗證] 複選框。
  5. 在 Azure 入口網站中尋找 Microsoft Entra 應用程式的 [概] 頁面,並根據這些值填入租使用者標識碼和用戶端識別符。
  6. 根據預設,端點會設定為 https://login.microsoftonline.com (公用端點) 。 不過,您也可以設定自定義端點,例如政府雲端環境的端點。
  7. 按兩下 [儲存 ] 以儲存您的變更。

設定叢集節點的存取權

Linux 叢集的 CycleCloud 使用者管理功能需要具有叢集節點登入存取權的使用者 SSH 公鑰。 啟用 Entra ID 驗證和授權時,用戶應該至少登入 CycleCloud 一次,以初始化其使用者帳戶記錄,然後編輯其配置檔以新增其公用 SSH 密鑰。

CycleCloud 會自動產生使用者 UID 和 GID。 但是,如果叢集將存取永續性記憶體資源,系統管理員可能需要為使用者明確設定UID/GID,以符合文件系統上的現有使用者。

這些使用者配置檔更新也可以藉由預先建立用戶記錄作為 GUI 作業的替代方案來執行。 如需詳細資訊,請參閱 使用者管理

搭配 CycleCloud 使用 Entra ID 驗證

嘗試使用 Entra ID 向 CycleCloud 進行驗證,有下列支援的案例:

  1. 成功的驗證一律會重設使用者角色,以符合在 Entra ID 中設定的使用者角色。 請注意,由於存取令牌的預設存留期是一小時,因此您可能需要註銷並重新登入,才能設定新的角色。
  2. 如果您要驗證的使用者已預先建立,則租使用者標識碼和對象標識元可以在第一次登入之前未設定為任何專案。 這會導致警告訊息移至記錄,且這些值設定為符合來自 Entra ID 令牌的值。
  3. 如果基於任何原因,物件標識碼和/或租使用者標識碼不符合存取令牌中的標識符,則會被視為驗證錯誤。 必須先手動移除舊的用戶記錄,才能驗證此使用者。
  4. 如果您忘記建立可使用 Entra 識別碼進行驗證的帳戶,即可透過控制台停用 Entra 標識符驗證 ./cycle_server reset_access
  5. 透過 Entra ID 驗證建立的用戶預設不會設定公用 SSH 金鑰,因此您必須手動設定它們,才能在節點上使用使用者管理。

密碼原則

Azure CycleCloud 具有整合式密碼原則和安全性措施。 使用內建驗證方法建立的帳戶必須具有8到123個字元之間的密碼,且至少符合下列4個條件中的3個:

  • 至少包含一個大寫字母
  • 至少包含一個小寫字母
  • 至少包含一個數位
  • 至少包含一個特殊字元:@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

系統管理員可以要求使用者更新密碼,以遵循新的原則,方法是在 [ 編輯帳戶 ] 畫面內選取 [強制密碼變更] 方塊。

安全性鎖定

任何在彼此 60 秒內偵測到 5 個授權失敗的帳戶,都會自動鎖定 5 分鐘。 系統管理員可以手動解除鎖定帳戶,或只是等候五分鐘。