Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Benutzer und Gruppen

Rancher ist auf Benutzer und Gruppen angewiesen, um zu bestimmen, wer sich bei Rancher anmelden darf und auf welche Ressourcen sie zugreifen können. Wenn Sie einen externen Authentifizierungsanbieter konfigurieren, können sich Benutzer dieses Anbieters bei Ihrem Rancher-Server anmelden. Wenn sich ein Benutzer anmeldet, stellt der Authentifizierungsanbieter Ihrem Rancher-Server eine Liste von Gruppen zur Verfügung, zu denen der Benutzer gehört.

Der Zugriff auf Cluster, Projekte und globale DNS-Anbieter sowie -Einträge kann gesteuert werden, indem entweder einzelne Benutzer oder Gruppen zu diesen Ressourcen hinzugefügt werden. Wenn Sie eine Gruppe zu einer Ressource hinzufügen, können alle Benutzer, die Mitglieder dieser Gruppe im Authentifizierungsanbieter sind, auf die Ressource mit den Berechtigungen zugreifen, die Sie für die Gruppe festgelegt haben. Für weitere Informationen zu Rollen und Berechtigungen, siehe Rollenbasierte Zugriffskontrolle.

Mitglieder verwalten

Beim Hinzufügen eines Benutzers oder einer Gruppe zu einer Ressource können Sie nach Benutzern oder Gruppen suchen, indem Sie mit der Eingabe ihres Namens beginnen. Der Rancher-Server wird den Authentifizierungsanbieter abfragen, um Benutzer und Gruppen zu finden, die mit dem, was Sie eingegeben haben, übereinstimmen. Die Suche ist auf den Authentifizierungsanbieter beschränkt, bei dem Sie derzeit angemeldet sind. Wenn Sie beispielsweise die GitHub-Authentifizierung aktiviert haben, aber mit einem lokalen Benutzerkonto angemeldet sind, können Sie nicht nach GitHub-Benutzern oder -Gruppen suchen.

Alle Benutzer, ob lokale Benutzer oder von einem Authentifizierungsanbieter, können angezeigt und verwaltet werden. Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung. Klicken Sie in der linken Navigationsleiste auf Benutzer.

SAML-Anbieter-Hinweise

  • Benutzer und Gruppen werden nicht validiert, wenn Sie ihnen Berechtigungen in Rancher zuweisen.

  • Beim Hinzufügen von Benutzern müssen die genauen Benutzer-IDs (d.h. UID Field) korrekt eingegeben werden. Während Sie die Benutzer-ID eingeben, wird nicht nach anderen Benutzer-IDs gesucht, die möglicherweise übereinstimmen.

  • Beim Hinzufügen von Gruppen müssen Sie die Gruppe aus dem Dropdown-Menü auswählen, das neben dem Textfeld steht. Rancher geht davon aus, dass jede Eingabe im Textfeld ein Benutzer ist.

  • Das Dropdown-Menü für Gruppen zeigt nur die Gruppen an, in denen Sie Mitglied sind. Wenn Sie jedoch Administratorrechte oder eingeschränkte Administratorrechte haben, können Sie einer Gruppe beitreten, in der Sie kein Mitglied sind.

Benutzerinformationen

Rancher speichert Informationen über jeden Benutzer, der sich über einen Authentifizierungsanbieter anmeldet. Diese Informationen umfassen, ob der Benutzer Zugriff auf Ihren Rancher-Server hat und die Liste der Gruppen, zu denen der Benutzer gehört. Rancher speichert diese Benutzerinformationen, damit die CLI, API und kubectl den Zugriff des Benutzers basierend auf seiner Gruppenmitgliedschaft im Authentifizierungsanbieter genau widerspiegeln können.

Wann immer sich ein Benutzer über einen Authentifizierungsanbieter in die Benutzeroberfläche einloggt, aktualisiert Rancher automatisch diese Benutzerinformationen.

Automatisches Aktualisieren von Benutzerinformationen

Rancher wird die Benutzerinformationen auch dann regelmäßig aktualisieren, bevor sich ein Benutzer über die Benutzeroberfläche anmeldet. Sie können steuern, wie oft Rancher diese Aktualisierung durchführt.

Zwei Einstellungen steuern dieses Verhalten:

  • auth-user-info-max-age-seconds

    Diese Einstellung steuert, wie alt die Informationen eines Benutzers sein können, bevor Rancher sie aktualisiert. Wenn ein Benutzer einen API-Aufruf tätigt (entweder direkt oder durch Verwendung der Rancher CLI oder kubectl) und die Zeit seit der letzten Aktualisierung des Benutzers größer ist als diese Einstellung, wird Rancher eine Aktualisierung auslösen. Diese Einstellung hat standardmäßig 3600 Sekunden, d. h. 1 Stunde.

  • auth-user-info-resync-cron

    Diese Einstellung steuert einen wiederkehrenden Zeitplan für die erneute Synchronisierung der Informationen des Authentifizierungsanbieters für alle Benutzer. Unabhängig davon, ob ein Benutzer sich kürzlich angemeldet oder die API verwendet hat, wird dies dazu führen, dass der Benutzer in dem festgelegten Intervall aktualisiert wird. Diese Einstellung hat standardmäßig 0 0 * * *, d. h. einmal täglich um Mitternacht. Siehe die Cron-Daemon-Dokumentation für weitere Informationen zu gültigen Werten für diese Einstellung.

Um diese Einstellungen zu ändern,

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Globale Einstellungen.

  2. Gehen Sie zu der Einstellung, die Sie konfigurieren möchten, und klicken Sie auf ⋮ > Einstellung bearbeiten.

Da SAML keine Benutzersuche unterstützt, unterstützen SAML-basierte Authentifizierungsanbieter nicht das periodische Aktualisieren von Benutzerinformationen. Benutzerinformationen werden nur aktualisiert, wenn sich der Benutzer in die Rancher-Benutzeroberfläche einloggt.

Manuelles Aktualisieren von Benutzerinformationen

Wenn Sie sich nicht sicher sind, wann Rancher zuletzt eine automatische Aktualisierung der Benutzerinformationen durchgeführt hat, können Sie eine manuelle Aktualisierung aller Benutzer durchführen.

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie auf der Seite Benutzer auf Gruppenmitgliedschaften aktualisieren.

Ergebnisse: Rancher aktualisiert die Benutzerinformationen für alle Benutzer. Die Anforderung dieser Aktualisierung wird aktualisieren, welche Benutzer auf Rancher zugreifen können, sowie alle Gruppen, zu denen jeder Benutzer gehört.

Da SAML keine Benutzersuche unterstützt, unterstützen SAML-basierte Authentifizierungsanbieter nicht die Möglichkeit, Benutzerinformationen manuell zu aktualisieren. Benutzerinformationen werden nur aktualisiert, wenn sich der Benutzer in die Rancher-Benutzeroberfläche einloggt.

Passwortmindestlänge

Standardmäßig müssen Benutzerpasswörter mindestens 12 Zeichen lang sein. Sie können jedoch die Anforderung an die Passwortlänge anpassen:

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Globale Einstellungen.

  2. Gehen Sie zu password-min-length und klicken Sie auf ⋮ > Einstellung bearbeiten.

  3. Geben Sie einen ganzzahligen Wert zwischen 2 und 256 ein und klicken Sie auf Speichern.

Sitzungsdauer

Die Standarddauer (TTL) jeder Benutzersitzung ist anpassbar. Die Standard-Sitzungsdauer beträgt 16 Stunden.

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Globale Einstellungen.

  2. Gehen Sie zu auth-user-session-ttl-minutes und klicken Sie auf ⋮ > Einstellung bearbeiten.

  3. Geben Sie die Zeit in Minuten an, die eine Sitzungsdauer dauern soll, und klicken Sie auf Speichern.

Ergebnis: Benutzer werden nach der festgelegten Anzahl von Minuten automatisch aus Rancher abgemeldet.