|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
認証
認証は、マシンが_登録_する際のオンボーディング時に行われます。 SUSE® Rancher Prime: OS Manager Operator
SUSE® Rancher Prime: OS Managerはデフォルトで、信頼できるプラットフォームモジュール(TPM)を通じてホストを認証します:マシンは_証明_を通じて認証され、つまり、マシンはそのTPMデバイスを通じて自らのアイデンティティを証明します。
_証明_が機能するためには、各オンボーディングマシンは*TPM 2.0デバイスを持っている必要があります*。そうでなければ、安全なTPM認証を使用して登録することはできません。
TPMの代替手段
唯一公式にサポートされている登録方法は、TPM証明に基づいており、TPM 2.0が有効なデバイスを必要とします。
TPM 2.0チップなしで安全な認証をバイパスしてデバイスを登録したい場合、これらのマシンを一意に_識別_するための複数の方法があります:
-
シンプルなソフトウェア実装を介してTPMデバイスをエミュレートする
-
ネットワークMACアドレスを通じて自らを識別する
-
SMBIOS UUIDを使用して自らを識別する
認証/識別方法は、マシン登録リソースのconfig:elemental:registration:authフィールドで指定できます。
|
SUSE® Rancher Prime: OS Managerにおける唯一の安全で公式にサポートされている*認証*方法は、TPM証明に基づくデフォルトのものです。 TPMの代替手段はデモ目的やローカル展開に使用できますが、オンボーディングマシンのアイデンティティが安全に確認されないため、本番環境での使用は推奨されません。 |
TPMエミュレーション
TPMエミュレーションは、TPMの動作を模倣するソフトウェアを使用して認証を行い、これはSUSE® Rancher Prime: OS Manager Register clientに組み込まれています。 エミュレートされたTPMデバイスの鍵はすべて、決定論的な方法で単一のシードによって生成されます:同じシードは同じTPM鍵を生成し、したがって、各登録ホストでは異なるシードを選択する必要があります。
TPMエミュレーションは、`emulate-tpm`および`emulated-tpm-seed`フィールドを`MachineRegistration`設定で設定することによって有効になります(詳細については、マシン登録リファレンスのconfig:elemental:registrationセクションを参照してください)。
apiVersion: elemental.cattle.io/v1beta1
kind: MachineRegistration
metadata:
name: fire-nodes-emulate-tpm
namespace: fleet-default
spec:
config:
cloud-config:
users:
- name: root
passwd: root
elemental:
install:
reboot: true
device: /dev/sda
debug: true
registration:
emulate-tpm: true
emulated-tpm-seed: -1
machineInventoryLabels:
element: fire
manufacturer: "${Product/Vendor}"
productName: "${Product/Name}"
serialNumber: "${Product/Serial Number}"
machineUUID: "${Product/UUID}"TPMエミュレーションの設定は、TPMエミュレーション設定セクションに詳述されています。
MACアドレス識別
MACアドレス識別を使用する場合、ホストはそのネットワークインターフェースカード(NIC)からのMACアドレスを識別子として使用してSUSE® Rancher Prime: OS Manager Operatorに登録します。 マシンに複数のネットワークインタフェースがある場合、MACアドレスは辞書順にソートされ、最初のものが選択されます。
TPM認証をMACアドレス識別に置き換えるには、MachineRegistrationリファレンスのconfig:elemental:registrationセクションで`auth`フィールドに`mac`の値を設定するだけで十分です。
apiVersion: elemental.cattle.io/v1beta1
kind: MachineRegistration
metadata:
name: fire-nodes-mac
namespace: fleet-default
spec:
config:
cloud-config:
users:
- name: root
passwd: root
elemental:
install:
reboot: true
device: /dev/sda
debug: true
registration:
auth: mac
machineInventoryLabels:
element: fire
manufacturer: "${Product/Vendor}"
productName: "${Product/Name}"
serialNumber: "${Product/Serial Number}"
machineUUID: "${Product/UUID}"|
MACアドレスはSUSE® Rancher Prime: OS Manager Operatorによってユニークであると見なされます。 これは物理デバイスに当てはまりますが、異なるハイパーバイザーと異なるネットワークセグメントからの仮想マシンを使用する場合、登録するVMがユニークなMACアドレスを持つことを確認するのは管理者の責任です。 |
SMBIOS UUID識別
システム管理BIOS(SMBIOS)仕様は、ホストのBIOSによって生成された管理情報を読み取るために使用できるデータ構造を定義しています。
`sys-uuid`の値を`auth`フィールドとしてconfig:elemental:registrationセクションのMachineRegistrationに使用する場合、ホストはホストのSMBIOSデータの`System Information`テーブルからの`UUID`の値を使用してSUSE® Rancher Prime: OS Manager Operatorに登録します。
apiVersion: elemental.cattle.io/v1beta1
kind: MachineRegistration
metadata:
name: fire-nodes-mac
namespace: fleet-default
spec:
config:
cloud-config:
users:
- name: root
passwd: root
elemental:
install:
reboot: true
device: /dev/sda
debug: true
registration:
auth: sys-uuid
machineInventoryLabels:
element: fire
manufacturer: "${System Information/Manufacturer}"
productName: "${System Information/Product Name}"
serialNumber: "${System Information/Serial Number}"
machineUUID: "${System Information/UUID}"|
SMBIOS `System information/UUID`の値は、ハードウェアベンダーによってホストのユニークなUUIDとして記入されるべきです。 SMBIOSデータは常に信頼できるわけではありません。これは製造業者によります。UUIDが欠落している、または同じバッチ内の複数のデバイスに同じUUIDが適用されることがあるかもしれません。 マシンがユニークな`System information/UUID` SMBIOS値を持つことを確認するのは管理者の責任です(`dmidecode`ツールが役立つかもしれません)。そうでなければ、マシンは同じ`MachineInventory`リソースを上書きし続け、SUSE® Rancher Prime: OS Managerプロビジョニングは失敗します。 |