Freigeben über

Benutzerauthentifizierung

  • Artikel

Azure CycleCloud bietet vier Authentifizierungsmethoden: eine integrierte Datenbank mit Verschlüsselung, Active Directory, LDAP oder Entra ID. Um Ihre Authentifizierungsmethode auszuwählen und einzurichten, öffnen Sie im Menü Admin (oben rechts auf dem Bildschirm) die Seite Einstellungen, und doppelklicken Sie auf Authentifizierung. Wählen Sie Ihre bevorzugte Authentifizierungsmethode aus, und befolgen Sie die folgenden Anweisungen.

Built-In

Standardmäßig verwendet CycleCloud ein einfaches Datenbankautorisierungsschema. Die Kennwörter werden verschlüsselt und in der Datenbank gespeichert, und Benutzer authentifizieren sich mit ihrem gespeicherten Benutzernamen und Kennwort. Um diese Methode auszuwählen, klicken Sie auf der Seite Authentifizierung auf das Kontrollkästchen für Built-In.

Sie können die Anmeldeinformationen eines Benutzers testen, indem Sie den Benutzernamen und das Kennwort eingeben und dann auf Testen klicken, um die Informationen zu überprüfen.

Active Directory

Achtung

Es ist möglich, sich von Ihrer CycleCloud-instance zu sperren, wenn Sie von der lokalen zur AD-, LDAP- oder Entra-ID-Authentifizierung wechseln. Der Zugriff wird Benutzern gewährt, die über ein lokales Konto verfügen und sich beim konfigurierten Server authentifizieren können (lokale Kennwörter werden ignoriert). In den folgenden Anweisungen wird versucht, sich vor Einer Sperrung zu schützen.

  1. Aktivieren Sie das Kontrollkästchen, um Active Directory zu aktivieren.
  2. Geben Sie die URL für Ihren Active Directory-Server ein (beginnend mit ldap:// oder ldaps://).
  3. Geben Sie die Standarddomäne in Form von "DOMAIN" oder "@domain.com" ein, je nachdem, ob sich Ihre Benutzer mit Namen wie "DOMAIN\user" oder "user@domain.com" (UPN) authentifizieren. Wenn dieses Feld leer bleibt, müssen Benutzer ihren vollqualifizierten Namen eingeben.
  4. Klicken Sie auf Testen , um sicherzustellen, dass CycleCloud die bereitgestellten Einstellungen verwenden kann. Verwenden Sie ein Konto, das auf Ihrem Authentifizierungsserver vorhanden ist.
  5. Melden Sie sich in einem separaten Browser- oder Inkognitofenster als das Domänenkonto an, das Sie in Schritt 2 hinzugefügt haben.
  6. Wenn die Anmeldung in Schritt 4 erfolgreich war, können Sie sich von Ihrer ersten Sitzung abmelden. Die Authentifizierung ist ordnungsgemäß konfiguriert.

Active Directory-Konfiguration

Das obige Beispiel zeigt eine Beispielkonfiguration für eine Active Directory-Umgebung. Windows-Benutzer melden sich als BEISPIEL\Benutzername an, sodass "EXAMPLE" als Domäne eingegeben wird. Die Authentifizierung wird vom server ad.example.com verarbeitet, sodass ldaps://ad.example.com als URL eingegeben wird.

Hinweis

Nach einem fehlgeschlagenen Authentifizierungsversuch wird die Meldung "Authentifizierung fehlgeschlagen" möglicherweise weiterhin im Fenster Authentifizierungseinstellungen angezeigt. Wenn Sie auf Abbrechen klicken und erneut starten, wird diese Meldung gelöscht. Bei erfolgreicher Authentifizierung wird die Meldung "Authentifizierung fehlgeschlagen" durch "Authentifizierung erfolgreich" ersetzt.

LDAP

  1. Aktivieren Sie das Kontrollkästchen, um die LDAP-Authentifizierung zu aktivieren.
  2. Geben Sie die entsprechenden LDAP-Einstellungen ein.
  3. Klicken Sie auf "Test", um sicherzustellen, dass CycleCloud die angegebenen Einstellungen verwenden kann. Verwenden Sie ein Konto, das auf Ihrem Authentifizierungsserver vorhanden ist.
  4. Melden Sie sich in einem separaten Browser- oder Inkognitofenster als das Domänenkonto an, das Sie in Schritt 2 hinzugefügt haben.
  5. Wenn die Anmeldung in Schritt 4 erfolgreich war, können Sie sich von Ihrer ersten Sitzung abmelden. Die Authentifizierung ist ordnungsgemäß konfiguriert.

Entra-ID (VORSCHAU)

Konfigurieren von CycleCloud für Entra-Authentifizierung und -Autorisierung

Hinweis

Sie müssen zuerst eine Microsoft Entra-Anwendung erstellen. Wenn Sie noch keine erstellt haben, erstellen Sie jetzt eine

GUI-Konfiguration

So aktivieren Sie die Entra-ID-Authentifizierung:

  1. Starten Sie Cyclecloud, und navigieren Sie dann zu Einstellungen in der oberen rechten Ecke.
  2. Wählen Sie die Tabellenzeile Authentifizierung aus, und klicken Sie auf Konfigurieren oder doppelklicken Sie auf die Zeile. Wählen Sie im Popupdialogfeld den Abschnitt Entra-ID aus. Authentifizierungseinstellung in CycleCloud GUI
  3. Anschließend wird ein Fenster mit drei Abschnitten angezeigt. Bleiben Sie im Abschnitt Entra-ID . Menü
  4. Aktivieren Sie das Kontrollkästchen Entra ID-Authentifizierung aktivieren .
  5. Suchen Sie die Seite Übersicht für Ihre Microsoft Entra-Anwendung im Azure-Portal, und geben Sie die Mandanten-ID und die Client-ID basierend auf diesen Werten ein.
  6. Standardmäßig ist der Endpunkt auf https://login.microsoftonline.com (öffentlicher Endpunkt) festgelegt. Sie können jedoch auch einen benutzerdefinierten Endpunkt festlegen, z. B. einen für eine Behörden-Cloudumgebung.
  7. Klicken Sie auf Speichern , um Ihre Änderungen zu speichern.

Konfigurieren des Zugriffs auf Clusterknoten

Die CycleCloud-Benutzerverwaltungsfunktion für Linux-Cluster erfordert einen öffentlichen SSH-Schlüssel für Benutzer mit Anmeldezugriff auf Clusterknoten. Wenn die Entra-ID-Authentifizierung und -Autorisierung aktiviert ist, sollten sich Benutzer mindestens einmal bei CycleCloud anmelden, um ihren Benutzerkontodatensatz zu initialisieren und dann ihr Profil zu bearbeiten, um ihren öffentlichen SSH-Schlüssel hinzuzufügen.

CycleCloud generiert automatisch eine UID und GID für Benutzer. Wenn ein Cluster jedoch auf persistente Speicherressourcen zugreift, ist es möglicherweise erforderlich, dass ein Administrator die UID/GID für Benutzer explizit so festlegen muss, dass sie den vorhandenen Benutzern im Dateisystem entspricht.

Diese Benutzerprofilaktualisierungen können auch durch vorab erstellte Benutzerdatensätze als Alternative zum GUI-Vorgang durchgeführt werden. Weitere Informationen finden Sie unter Benutzerverwaltung .

Verwenden der Entra-ID-Authentifizierung mit CycleCloud

Ein Versuch, sich mit CycleCloud mithilfe der Entra-ID zu authentifizieren, weist die folgenden unterstützten Szenarien auf:

  1. Bei erfolgreicher Authentifizierung werden immer Benutzerrollen so zurückgesetzt, dass sie den in entra ID eingerichteten Rollen entsprechen. Beachten Sie, dass Sie sich möglicherweise abmelden und sich wieder anmelden müssen, da die Standardlebensdauer eines Zugriffstokens eine Stunde beträgt, damit die neuen Rollen festgelegt werden können.
  2. Wenn der Benutzer, den Sie authentifizieren, als vorab erstellt wurde, ist es möglich, dass die Mandanten-ID und die Objekt-ID vor der ersten Anmeldung auf nichts festgelegt werden. Dies führt dazu, dass eine Warnmeldung an die Protokolle gesendet wird, und diese Werte werden so festgelegt, dass sie mit den Werten aus dem Entra-ID-Token übereinstimmen.
  3. Wenn die Objekt-ID und/oder mandanten-ID aus irgendeinem Grund nicht mit denen im Zugriffstoken übereinstimmen, wird dies als Authentifizierungsfehler behandelt. Der alte Benutzerdatensatz muss manuell entfernt werden, bevor sich dieser Benutzer authentifizieren kann.
  4. Wenn Sie sich aus dem Superbenutzerkonto sperren, indem Sie vergessen, ein Konto zu erstellen, das mit Ihrer Entra-ID authentifiziert werden kann, können Sie die Entra-ID-Authentifizierung über die Konsole deaktivieren, indem Sie ausführen. ./cycle_server reset_access
  5. Benutzer, die über die Entra ID-Authentifizierung erstellt wurden, verfügen standardmäßig nicht über öffentliche SSH-Schlüssel, sodass Sie sie manuell konfigurieren müssen, um die Benutzerverwaltung auf Knoten zu verwenden.

Kennwortrichtlinie

Azure CycleCloud verfügt über eine integrierte Kennwortrichtlinie und Sicherheitsmaßnahmen. Konten, die mit der integrierten Authentifizierungsmethode erstellt werden, müssen Kennwörter zwischen 8 und 123 Zeichen lang haben und mindestens 3 der folgenden vier Bedingungen erfüllen:

  • Mindestens einen Großbuchstaben enthalten
  • Mindestens einen Kleinbuchstaben enthalten
  • Mindestens eine Zahl enthalten
  • Enthält mindestens ein Sonderzeichen: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

Administratoren können von Benutzern verlangen, Kennwörter zu aktualisieren, um die neue Richtlinie zu befolgen, indem sie im Bildschirm Konto bearbeiten das Feld "Kennwortänderung bei nächster Anmeldung erzwingen" aktivieren.

Sicherheitssperre

Jedes Konto, das innerhalb von 60 Sekunden 5 Autorisierungsfehler erkennt, wird automatisch für 5 Minuten gesperrt. Konten können manuell von einem Administrator oder nur durch Warten der fünf Minuten entsperrt werden.