|
Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado. |
Autenticación
La autenticación ocurre durante la incorporación de la máquina, cuando la máquina se registra en el SUSE® Rancher Prime: OS Manager Operator.
SUSE® Rancher Prime: OS Manager por defecto autentica a los hosts a través del Módulo de Plataforma Confiable (TPM): la máquina es autenticada a través de atestación, es decir, la máquina prueba su identidad a través de su dispositivo TPM.
Para que la atestación funcione, cada máquina en incorporación debe tener un dispositivo TPM 2.0, de lo contrario no podrá registrarse utilizando la autenticación segura de TPM.
Alternativas a TPM
El único método de registro oficialmente soportado se basa en la atestación de TPM y requiere dispositivos habilitados con TPM 2.0.
Si deseas inscribir dispositivos sin un chip TPM 2.0 eludiendo la autenticación segura, hay múltiples formas de identificar esas máquinas y permitir el registro:
-
emulando un dispositivo TPM a través de una simple implementación de software
-
identificándose a través de su dirección MAC de red
-
identificándose utilizando su UUID SMBIOS
El método de autenticación/identificación puede especificarse en el config:elemental:registration:auth del recurso MachineRegistration.
|
El único método de autenticación seguro y oficialmente soportado en SUSE® Rancher Prime: OS Manager es el predeterminado, basado en la atestación de TPM. Las alternativas de TPM pueden usarse para fines de demostración o implementaciones locales, pero no se recomiendan para uso en producción ya que la identidad de las máquinas en incorporación no se verifica de forma segura. |
Emulación de TPM
La emulación de TPM realiza la autenticación utilizando un software que imita el comportamiento de TPM y que está integrado en el SUSE® Rancher Prime: OS Manager Register client. Las claves del dispositivo TPM emulado son generadas todas por una única semilla de manera determinista: la misma semilla resulta en las mismas claves de TPM, por lo que se debe elegir una semilla diferente en cada host que se inscriba.
La emulación de TPM se habilita configurando los campos emulate-tpm y emulated-tpm-seed en la configuración de MachineRegistration (véase la config:elemental:registration en la referencia de MachineRegistration para más detalles).
apiVersion: elemental.cattle.io/v1beta1
kind: MachineRegistration
metadata:
name: fire-nodes-emulate-tpm
namespace: fleet-default
spec:
config:
cloud-config:
users:
- name: root
passwd: root
elemental:
install:
reboot: true
device: /dev/sda
debug: true
registration:
emulate-tpm: true
emulated-tpm-seed: -1
machineInventoryLabels:
element: fire
manufacturer: "${Product/Vendor}"
productName: "${Product/Name}"
serialNumber: "${Product/Serial Number}"
machineUUID: "${Product/UUID}"La configuración de emulación de TPM se detalla en la sección de configuración de emulación de TPM.
identificación por dirección MAC
Al utilizar la identificación por dirección MAC, el host se registra en el SUSE® Rancher Prime: OS Manager Operator utilizando la dirección MAC de su interfaz de red (NIC) como identificador. En caso de que la máquina tenga más de una interfaz de red, las direcciones MAC se ordenan lexicográficamente y se selecciona la primera.
Para reemplazar la autenticación TPM con la identificación por dirección MAC, basta con establecer el valor de mac en el campo auth de la sección config:elemental:registration en la referencia MachineRegistration.
apiVersion: elemental.cattle.io/v1beta1
kind: MachineRegistration
metadata:
name: fire-nodes-mac
namespace: fleet-default
spec:
config:
cloud-config:
users:
- name: root
passwd: root
elemental:
install:
reboot: true
device: /dev/sda
debug: true
registration:
auth: mac
machineInventoryLabels:
element: fire
manufacturer: "${Product/Vendor}"
productName: "${Product/Name}"
serialNumber: "${Product/Serial Number}"
machineUUID: "${Product/UUID}"|
La dirección MAC es considerada única por el SUSE® Rancher Prime: OS Manager Operator. Esto es cierto para dispositivos físicos, mientras que si se utilizan máquinas virtuales de diferentes hipervisores y diferentes segmentos de red, depende del administrador asegurarse de que las VMs que se registran tengan una dirección MAC única. |
Identificación por UUID de SMBIOS
La especificación del BIOS de gestión del sistema (SMBIOS) define estructuras de datos que se pueden utilizar para leer información de gestión producida por el BIOS de un host.
Al utilizar el valor de sys-uuid como el campo auth de la sección config:elemental:registration en MachineRegistration, el host se registra en el SUSE® Rancher Prime: OS Manager Operator utilizando el valor de UUID de la tabla System Information de los datos SMBIOS del host.
apiVersion: elemental.cattle.io/v1beta1
kind: MachineRegistration
metadata:
name: fire-nodes-mac
namespace: fleet-default
spec:
config:
cloud-config:
users:
- name: root
passwd: root
elemental:
install:
reboot: true
device: /dev/sda
debug: true
registration:
auth: sys-uuid
machineInventoryLabels:
element: fire
manufacturer: "${System Information/Manufacturer}"
productName: "${System Information/Product Name}"
serialNumber: "${System Information/Serial Number}"
machineUUID: "${System Information/UUID}"|
El valor de SMBIOS Los datos de SMBIOS no siempre son fiables. Esto depende del fabricante. Puede que experimentes que el UUID esté ausente, o que el mismo UUID se aplique a múltiples dispositivos dentro del mismo lote. Depende del administrador asegurarse de que las máquinas tengan valores SMBIOS |