|
Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official. |
Autenticação
A autenticação ocorre durante a integração da Máquina, quando a Máquina registra-se no SUSE® Rancher Prime: OS Manager Operator.
SUSE® Rancher Prime: OS Manager por padrão autentica hosts através do Módulo de Plataforma Confiável (TPM): a máquina é autenticada através de atestação, ou seja, a máquina prova sua identidade através de seu dispositivo TPM.
Para que atestação funcione, cada máquina em integração deve ter um dispositivo TPM 2.0, caso contrário, não poderá se registrar usando a autenticação segura do TPM.
Alternativas ao TPM
O único método de registro oficialmente suportado é baseado na atestação do TPM e requer dispositivos com TPM 2.0 habilitados.
Se você quiser inscrever dispositivos sem um chip TPM 2.0, contornando a autenticação segura, existem várias maneiras de identificar essas máquinas de forma única e permitir o registro:
-
emulando um dispositivo TPM através de uma simples implementação de software
-
identificando-se através do seu endereço MAC de rede
-
identificando-se usando seu UUID SMBIOS
O método de autenticação/identificação pode ser especificado no config:elemental:registration:auth do recurso MachineRegistration.
|
O único método de autenticação seguro e oficialmente suportado em SUSE® Rancher Prime: OS Manager é o padrão, baseado na atestação do TPM. As alternativas ao TPM podem ser usadas para fins de demonstração ou implantações locais, mas não são recomendadas para uso em produção, pois a identidade das máquinas em integração não é verificada de forma segura. |
Emulação de TPM
A emulação de TPM realiza a autenticação usando um software que imita o comportamento do TPM e que está embutido no SUSE® Rancher Prime: OS Manager Register client. As chaves do dispositivo TPM emulado são todas geradas por uma única semente de forma determinística: a mesma semente resulta nas mesmas chaves do TPM, portanto, uma semente diferente deve ser escolhida em cada host de inscrição.
A emulação de TPM é ativada configurando os campos emulate-tpm e emulated-tpm-seed na configuração MachineRegistration (veja a seção config:elemental:registration do MachineRegistration para mais detalhes).
apiVersion: elemental.cattle.io/v1beta1
kind: MachineRegistration
metadata:
name: fire-nodes-emulate-tpm
namespace: fleet-default
spec:
config:
cloud-config:
users:
- name: root
passwd: root
elemental:
install:
reboot: true
device: /dev/sda
debug: true
registration:
emulate-tpm: true
emulated-tpm-seed: -1
machineInventoryLabels:
element: fire
manufacturer: "${Product/Vendor}"
productName: "${Product/Name}"
serialNumber: "${Product/Serial Number}"
machineUUID: "${Product/UUID}"A configuração de emulação de TPM é detalhada na seção de configuração de emulação de TPM.
identificação por endereço MAC
Ao usar a identificação por endereço MAC, o host se registra no SUSE® Rancher Prime: OS Manager Operator usando o endereço MAC de sua interface de rede (NIC) como identificador. Caso a máquina tenha mais de uma interface de rede, os endereços MAC são ordenados lexicograficamente e o primeiro é selecionado.
Para substituir a autenticação TPM pela identificação por endereço MAC, basta definir o valor mac no campo auth na seção config:elemental:registration do MachineRegistration.
apiVersion: elemental.cattle.io/v1beta1
kind: MachineRegistration
metadata:
name: fire-nodes-mac
namespace: fleet-default
spec:
config:
cloud-config:
users:
- name: root
passwd: root
elemental:
install:
reboot: true
device: /dev/sda
debug: true
registration:
auth: mac
machineInventoryLabels:
element: fire
manufacturer: "${Product/Vendor}"
productName: "${Product/Name}"
serialNumber: "${Product/Serial Number}"
machineUUID: "${Product/UUID}"|
O endereço MAC é considerado único pelo SUSE® Rancher Prime: OS Manager Operator. Isso é verdade para dispositivos físicos, enquanto se estiver usando Máquinas Virtuais de diferentes hipervisores e diferentes segmentos de rede, cabe ao administrador garantir que as VMs registradas tenham um endereço MAC único. |
Identificação por UUID SMBIOS
A especificação do System Management BIOS (SMBIOS) define estruturas de dados que podem ser usadas para ler informações de gerenciamento produzidas pelo BIOS de um host.
Ao usar o valor sys-uuid como o campo auth da seção config:elemental:registration do MachineRegistration, o host se registra no SUSE® Rancher Prime: OS Manager Operator usando o valor UUID da tabela System Information dos dados SMBIOS do host.
apiVersion: elemental.cattle.io/v1beta1
kind: MachineRegistration
metadata:
name: fire-nodes-mac
namespace: fleet-default
spec:
config:
cloud-config:
users:
- name: root
passwd: root
elemental:
install:
reboot: true
device: /dev/sda
debug: true
registration:
auth: sys-uuid
machineInventoryLabels:
element: fire
manufacturer: "${System Information/Manufacturer}"
productName: "${System Information/Product Name}"
serialNumber: "${System Information/Serial Number}"
machineUUID: "${System Information/UUID}"|
O valor Os dados SMBIOS nem sempre são confiáveis. Isso depende do fabricante. Você pode encontrar o UUID ausente ou o mesmo UUID sendo aplicado a vários dispositivos dentro do mesmo lote. Cabe ao administrador garantir que as máquinas tenham valores SMBIOS |