Sdílet prostřednictvím

Ověřování uživatelů

  • Článek

Azure CycleCloud nabízí čtyři metody ověřování: integrovanou databázi s šifrováním, Active Directory, LDAP nebo Entra ID. Pokud chcete vybrat a nastavit metodu ověřování, otevřete stránku Nastavení v nabídce Správa (v pravém horním rohu obrazovky) a poklikejte na Ověřování. Zvolte upřednostňovanou metodu ověřování a postupujte podle následujících pokynů.

Built-In

CycleCloud ve výchozím nastavení používá jednoduché schéma autorizace databáze. Hesla se šifrují a ukládají v databázi a uživatelé se ověřují pomocí svého uloženého uživatelského jména a hesla. Pokud chcete tuto metodu vybrat, zaškrtněte políčko pro Built-In na stránce Ověřování.

Přihlašovací údaje uživatele můžete otestovat zadáním uživatelského jména a hesla a následným kliknutím na Test ověřit informace.

Active Directory

Upozornění

Při změně z místního ověřování na AD, LDAP nebo Entra ID je možné se uzamknout z instance CycleCloud. Přístup se udělí uživatelům, kteří mají místní účet a můžou se ověřit na serveru nakonfigurovaném (místní hesla budou ignorována). Následující pokyny se snaží chránit před uzamčením.

  1. Zaškrtněte políčko, pokud chcete povolit službu Active Directory.
  2. Zadejte adresu URL serveru služby Active Directory (počínaje ldap:// nebo ldaps://).
  3. Zadejte výchozí doménu ve tvaru "DOMÉNA" nebo "@domain.com" v závislosti na tom, jestli se uživatelé ověřují pomocí jmen, jako je "DOMÉNA\uživatel" nebo "user@domain.com" (UPN). Pokud je toto pole prázdné, musí uživatelé zadat svůj plně kvalifikovaný název.
  4. Klikněte na Test a ujistěte se, že CycleCloud může použít poskytnutá nastavení. Použijte účet, který existuje na vašem ověřovacím serveru.
  5. V samostatném prohlížeči nebo anonymním okně se přihlaste jako účet domény, který jste přidali v kroku 2.
  6. Pokud je přihlášení v kroku 4 úspěšné, můžete se odhlásit z první relace. Ověřování je správně nakonfigurované.

Konfigurace služby Active Directory

Výše uvedený příklad ukazuje ukázkovou konfiguraci pro prostředí služby Active Directory. Uživatelé systému Windows se přihlašuje jako EXAMPLE\uživatelské jméno, takže "EXAMPLE" se zadá jako doména. Ověřování zpracovává serverový ad.example.com, takže jako adresu URL se zadává ldaps://ad.example.com .

Poznámka

Po neúspěšném pokusu o ověření se v okně Nastavení ověřování může stále zobrazovat zpráva "Ověřování selhalo". Kliknutím na Zrušit a spuštěním znovu tuto zprávu vymažete. Úspěšné ověřování nahradí zprávu "Ověření selhalo" zprávou "Ověřování bylo úspěšné".

LDAP

  1. Zaškrtněte políčko, pokud chcete povolit ověřování LDAP.
  2. Zadejte odpovídající nastavení LDAP.
  3. Klikněte na Test a ujistěte se, že CycleCloud může použít poskytnutá nastavení. Použijte účet, který existuje na vašem ověřovacím serveru.
  4. V samostatném prohlížeči nebo anonymním okně se přihlaste jako účet domény, který jste přidali v kroku 2.
  5. Pokud je přihlášení v kroku 4 úspěšné, můžete se odhlásit z první relace. Ověřování je správně nakonfigurované.

ENTRA ID (PREVIEW)

Konfigurace CycleCloudu pro ověřování a autorizaci Entra

Poznámka

Nejprve musíte vytvořit aplikaci Microsoft Entra. Pokud jste ho ještě nevytvořili, vytvořte si ho teď.

Konfigurace grafického uživatelského rozhraní

Povolení ověřování Entra ID:

  1. Spusťte Cyclecloud a pak v pravém horním rohu přejděte na Nastavení .
  2. Vyberte řádek tabulky s názvem Ověřování a klikněte na Konfigurovat nebo na řádek poklikejte. V automaticky otevíraných dialogových oknech vyberte část ID Entra . Nastavení ověřování v uživatelském uživatelském rozhraní CycleCloud
  3. Pak se zobrazí okno se třemi oddíly. Zůstaňte v části Entra ID . Nabídka Konfigurace ověřování Entra ID
  4. Zaškrtněte políčko Povolit ověřování Id Entra .
  5. Na webu Azure Portal vyhledejte stránku Přehled aplikace Microsoft Entra a vyplňte ID tenanta a ID klienta na základě těchto hodnot.
  6. Ve výchozím nastavení je koncový bod nastavený na https://login.microsoftonline.com (veřejný koncový bod). Můžete ale také nastavit vlastní koncový bod, například pro cloudové prostředí státní správy.
  7. Kliknutím na Uložit uložte změny.

Konfigurace přístupu k uzlům clusteru

Funkce CycleCloud User Management pro clustery s Linuxem vyžaduje veřejný klíč SSH pro uživatele s přístupem přihlášení k uzlům clusteru. Pokud je povolené ověřování a autorizace Entra ID, uživatelé by se měli alespoň jednou přihlásit k CycleCloudu, aby inicializovali záznam uživatelského účtu a pak upravili svůj profil a přidali svůj veřejný klíč SSH.

CycleCloud automaticky vygeneruje UID a GID pro uživatele. Pokud ale bude cluster přistupovat k trvalým prostředkům úložiště, může být nutné, aby správce nastavil UID/GID pro uživatele explicitně tak, aby odpovídal stávajícím uživatelům v systému souborů.

Tyto aktualizace profilů uživatelů mohou být také provedeny předběžným vytvořením záznamů uživatele jako alternativu k operaci grafického uživatelského rozhraní. Další podrobnosti najdete v tématu Správa uživatelů .

Použití ověřování Entra ID s CycleCloudem

Pokus o ověření pomocí CycleCloudu pomocí Id Entra má následující podporované scénáře:

  1. Úspěšné ověřování vždy resetuje role uživatele tak, aby odpovídaly rolím nastaveným v ID Entra. Mějte na paměti, že vzhledem k tomu, že výchozí životnost přístupového tokenu je hodina, může být nutné se odhlásit a znovu přihlásit, aby se nastavily nové role.
  2. Pokud byl uživatel, jako je ověřovaný, předem vytvořen, je možné, že ID tenanta a ID objektu se před prvním přihlášením nenastaví na nic. Výsledkem bude zpráva upozornění na protokoly a tyto hodnoty se nastaví tak, aby odpovídaly hodnotám pocházejícím z tokenu Entra ID.
  3. Pokud se z nějakého důvodu ID objektu a/nebo ID tenanta neshodují s ID v přístupovém tokenu, považuje se za chybu ověřování. Před ověřením tohoto uživatele bude nutné starý záznam uživatele odebrat ručně.
  4. Pokud se uzamknete z účtu superuživatele tím, že zapomenete vytvořit účet, který se dá ověřit pomocí vašeho Id Entra, můžete zakázat ověřování Id Entra prostřednictvím konzoly spuštěním příkazu . ./cycle_server reset_access
  5. Uživatelé vytvořené prostřednictvím ověřování Entra ID nemají ve výchozím nastavení nakonfigurované veřejné klíče SSH, takže je budete muset nakonfigurovat ručně, aby používaly správu uživatelů na uzlech.

Zásady hesel

Azure CycleCloud má integrované zásady hesel a bezpečnostní opatření. Účty vytvořené pomocí integrované metody ověřování musí mít hesla o délce 8 až 123 znaků a musí splňovat alespoň 3 z následujících 4 podmínek:

  • Obsahovat aspoň jedno velké písmeno.
  • Obsahují aspoň jedno malé písmeno.
  • Obsahují aspoň jedno číslo.
  • Obsahují alespoň jeden speciální znak: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

Správci můžou vyžadovat, aby uživatelé aktualizovali hesla, aby dodržovali nové zásady, a to tak, že na obrazovce Upravit účet zaškrtnou políčko Vynutit změnu hesla při dalším přihlášení.

Uzamčení zabezpečení

Každý účet, který zjistí 5 selhání autorizace během 60 sekund od sebe, se automaticky uzamkne po dobu 5 minut. Účty může odemknout ručně správce nebo jenom po čekání na pět minut.