|
Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar. |
Authentifizierung
Die Authentifizierung erfolgt während der Maschinenanmeldung, wenn sich die Maschine registriert bei der SUSE® Rancher Prime: OS Manager Operator.
SUSE® Rancher Prime: OS Manager authentifiziert standardmäßig Hosts über das Trusted Platform Module (TPM): die Maschine wird durch Attestierung authentifiziert, d.h. die Maschine beweist ihre Identität über ihr TPM-Gerät.
Damit die Attestierung funktioniert, muss jede anmeldende Maschine ein TPM 2.0-Gerät haben, andernfalls kann sie sich nicht über die sichere TPM-Authentifizierung registrieren.
TPM-Alternativen
Die einzige offiziell unterstützte Registrierungsart basiert auf der TPM-Attestierung und erfordert Geräte mit aktivem TPM 2.0.
Wenn Sie Geräte ohne einen TPM 2.0-Chip registrieren möchten, um die sichere Authentifizierung zu umgehen, gibt es mehrere Möglichkeiten, diese Maschinen eindeutig zu identifizieren und die Registrierung zu ermöglichen:
-
ein TPM-Gerät über eine einfache Softwareimplementierung zu emulieren
-
sich über ihre Netzwerk-MAC-Adresse zu identifizieren
-
sich über ihre SMBIOS-UUID zu identifizieren
Die Authentifizierungs-/Identifikationsmethode kann im config:elemental:registration:auth-Feld der MachineRegistration-Ressource angegeben werden.
|
Die einzige sichere und offiziell unterstützte Authentifizierung-Methode in SUSE® Rancher Prime: OS Manager ist die Standardmethode, die auf der TPM-Attestierung basiert. Die TPM-Alternativen können zu Demonstrationszwecken oder für lokale Implementierungen verwendet werden, werden jedoch für den Produktionsbetrieb nicht empfohlen, da die Identität der anmeldenden Maschinen nicht sicher verifiziert wird. |
TPM-Emulation
Die TPM-Emulation führt die Authentifizierung mit einer Software durch, die das Verhalten von TPM nachahmt und in die SUSE® Rancher Prime: OS Manager Register client eingebettet ist. Die Schlüssel des emulierten TPM-Geräts werden alle deterministisch aus einem einzigen Seed generiert: derselbe Seed führt zu denselben TPM-Schlüsseln, daher sollte bei jedem anmeldenden Host ein anderer Seed gewählt werden.
Die TPM-Emulation wird aktiviert, indem die emulate-tpm und emulated-tpm-seed Felder in der MachineRegistration Konfiguration gesetzt werden (siehe den config:elemental:registration Abschnitt in der MachineRegistration-Referenz für weitere Details).
apiVersion: elemental.cattle.io/v1beta1
kind: MachineRegistration
metadata:
name: fire-nodes-emulate-tpm
namespace: fleet-default
spec:
config:
cloud-config:
users:
- name: root
passwd: root
elemental:
install:
reboot: true
device: /dev/sda
debug: true
registration:
emulate-tpm: true
emulated-tpm-seed: -1
machineInventoryLabels:
element: fire
manufacturer: "${Product/Vendor}"
productName: "${Product/Name}"
serialNumber: "${Product/Serial Number}"
machineUUID: "${Product/UUID}"Die Konfiguration der TPM-Emulation ist im Abschnitt zur TPM-Emulationskonfiguration detailliert.
MAC-Adressenerkennung
Bei der Verwendung der MAC-Adressenerkennung registriert sich der Host bei der SUSE® Rancher Prime: OS Manager Operator unter Verwendung der MAC-Adresse seiner Netzwerkschnittstelle (NIC) als Identifikator. Falls die Maschine mehr als eine Netzwerkschnittstelle hat, werden die MAC-Adressen lexikografisch sortiert und die erste wird ausgewählt.
Um die TPM-Authentifizierung durch die Identifizierung der MAC-Adresse zu ersetzen, reicht es aus, den mac Wert im auth Feld des config:elemental:registration-Abschnitts in der MachineRegistration-Referenz zu setzen.
apiVersion: elemental.cattle.io/v1beta1
kind: MachineRegistration
metadata:
name: fire-nodes-mac
namespace: fleet-default
spec:
config:
cloud-config:
users:
- name: root
passwd: root
elemental:
install:
reboot: true
device: /dev/sda
debug: true
registration:
auth: mac
machineInventoryLabels:
element: fire
manufacturer: "${Product/Vendor}"
productName: "${Product/Name}"
serialNumber: "${Product/Serial Number}"
machineUUID: "${Product/UUID}"|
Die MAC-Adresse wird vom SUSE® Rancher Prime: OS Manager Operator als einzigartig betrachtet. Dies gilt für physische Geräte, während es bei der Verwendung von VirtualMachines aus verschiedenen Hypervisoren und unterschiedlichen Netzwerksegmenten dem Administrator obliegt, sicherzustellen, dass die zu registrierenden VMs eine eindeutige MAC-Adresse haben. |
SMBIOS-UUID-Identifikation
Die System Management BIOS (SMBIOS) Spezifikation definiert Datenstrukturen, die verwendet werden können, um Verwaltungsinformationen zu lesen, die vom BIOS eines Hosts erzeugt werden.
Bei Verwendung des sys-uuid Wertes als auth-Feld des config:elemental:registration-Abschnitts in der MachineRegistration-Referenz registriert sich der Host beim SUSE® Rancher Prime: OS Manager Operator unter Verwendung des UUID Wertes aus der System Information Tabelle der SMBIOS-Daten des Hosts.
apiVersion: elemental.cattle.io/v1beta1
kind: MachineRegistration
metadata:
name: fire-nodes-mac
namespace: fleet-default
spec:
config:
cloud-config:
users:
- name: root
passwd: root
elemental:
install:
reboot: true
device: /dev/sda
debug: true
registration:
auth: sys-uuid
machineInventoryLabels:
element: fire
manufacturer: "${System Information/Manufacturer}"
productName: "${System Information/Product Name}"
serialNumber: "${System Information/Serial Number}"
machineUUID: "${System Information/UUID}"|
Der SMBIOS Die SMBIOS-Daten sind nicht immer zuverlässig. Das hängt vom Hersteller ab. Es kann vorkommen, dass die UUID fehlt oder dieselbe UUID auf mehrere Geräte innerhalb derselben Charge angewendet wird. Es liegt am Administrator, sicherzustellen, dass die Maschinen eindeutige |