Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Authentifizierung

Die Authentifizierung erfolgt während der Maschinenanmeldung, wenn sich die Maschine registriert bei der SUSE® Rancher Prime: OS Manager Operator.

SUSE® Rancher Prime: OS Manager authentifiziert standardmäßig Hosts über das Trusted Platform Module (TPM): die Maschine wird durch Attestierung authentifiziert, d.h. die Maschine beweist ihre Identität über ihr TPM-Gerät.

Damit die Attestierung funktioniert, muss jede anmeldende Maschine ein TPM 2.0-Gerät haben, andernfalls kann sie sich nicht über die sichere TPM-Authentifizierung registrieren.

TPM-Alternativen

Die einzige offiziell unterstützte Registrierungsart basiert auf der TPM-Attestierung und erfordert Geräte mit aktivem TPM 2.0.

Wenn Sie Geräte ohne einen TPM 2.0-Chip registrieren möchten, um die sichere Authentifizierung zu umgehen, gibt es mehrere Möglichkeiten, diese Maschinen eindeutig zu identifizieren und die Registrierung zu ermöglichen:

  • ein TPM-Gerät über eine einfache Softwareimplementierung zu emulieren

  • sich über ihre Netzwerk-MAC-Adresse zu identifizieren

  • sich über ihre SMBIOS-UUID zu identifizieren

Die Authentifizierungs-/Identifikationsmethode kann im config:elemental:registration:auth-Feld der MachineRegistration-Ressource angegeben werden.

Die einzige sichere und offiziell unterstützte Authentifizierung-Methode in SUSE® Rancher Prime: OS Manager ist die Standardmethode, die auf der TPM-Attestierung basiert. Die TPM-Alternativen können zu Demonstrationszwecken oder für lokale Implementierungen verwendet werden, werden jedoch für den Produktionsbetrieb nicht empfohlen, da die Identität der anmeldenden Maschinen nicht sicher verifiziert wird.

TPM-Emulation

Die TPM-Emulation führt die Authentifizierung mit einer Software durch, die das Verhalten von TPM nachahmt und in die SUSE® Rancher Prime: OS Manager Register client eingebettet ist. Die Schlüssel des emulierten TPM-Geräts werden alle deterministisch aus einem einzigen Seed generiert: derselbe Seed führt zu denselben TPM-Schlüsseln, daher sollte bei jedem anmeldenden Host ein anderer Seed gewählt werden.

Die TPM-Emulation wird aktiviert, indem die emulate-tpm und emulated-tpm-seed Felder in der MachineRegistration Konfiguration gesetzt werden (siehe den config:elemental:registration Abschnitt in der MachineRegistration-Referenz für weitere Details).

Beispiel für eine MachineRegistration mit TPM-Emulation
Unresolved include directive in modules/de/pages/rancher-os-management/authentication.adoc - include::example$authentication/registration-emulate-tpm.yaml[]

Die Konfiguration der TPM-Emulation ist im Abschnitt zur TPM-Emulationskonfiguration detailliert.

MAC-Adressenerkennung

Bei der Verwendung der MAC-Adressenerkennung registriert sich der Host bei der SUSE® Rancher Prime: OS Manager Operator unter Verwendung der MAC-Adresse seiner Netzwerkschnittstelle (NIC) als Identifikator. Falls die Maschine mehr als eine Netzwerkschnittstelle hat, werden die MAC-Adressen lexikografisch sortiert und die erste wird ausgewählt.

Um die TPM-Authentifizierung durch die Identifizierung der MAC-Adresse zu ersetzen, reicht es aus, den mac Wert im auth Feld des config:elemental:registration-Abschnitts in der MachineRegistration-Referenz zu setzen.

Beispiel für MachineRegistration, die die MAC-Adresse als Maschinenidentifikator verwendet
Unresolved include directive in modules/de/pages/rancher-os-management/authentication.adoc - include::example$authentication/registration-mac.yaml[]

Die MAC-Adresse wird vom SUSE® Rancher Prime: OS Manager Operator als einzigartig betrachtet. Dies gilt für physische Geräte, während es bei der Verwendung von VirtualMachines aus verschiedenen Hypervisoren und unterschiedlichen Netzwerksegmenten dem Administrator obliegt, sicherzustellen, dass die zu registrierenden VMs eine eindeutige MAC-Adresse haben.

SMBIOS-UUID-Identifikation

Die System Management BIOS (SMBIOS) Spezifikation definiert Datenstrukturen, die verwendet werden können, um Verwaltungsinformationen zu lesen, die vom BIOS eines Hosts erzeugt werden.

Bei Verwendung des sys-uuid Wertes als auth-Feld des config:elemental:registration-Abschnitts in der MachineRegistration-Referenz registriert sich der Host beim SUSE® Rancher Prime: OS Manager Operator unter Verwendung des UUID Wertes aus der System Information Tabelle der SMBIOS-Daten des Hosts.

Beispiel für eine MachineRegistration, die die UUID aus der SMBIOS-Systeminformationstabelle als Maschinenidentifikator verwendet
Unresolved include directive in modules/de/pages/rancher-os-management/authentication.adoc - include::example$authentication/registration-sys-uuid.yaml[]

Der SMBIOS System information/UUID Wert sollte vom Hardwareanbieter als eindeutige UUID für den Host ausgefüllt werden.

Die SMBIOS-Daten sind nicht immer zuverlässig. Das hängt vom Hersteller ab. Es kann vorkommen, dass die UUID fehlt oder dieselbe UUID auf mehrere Geräte innerhalb derselben Charge angewendet wird.

Es liegt am Administrator, sicherzustellen, dass die Maschinen eindeutige System information/UUID SMBIOS-Werte haben (das dmidecode Tool könnte hilfreich sein), andernfalls werden die Maschinen weiterhin dieselbe MachineInventory Ressource überschreiben und die SUSE® Rancher Prime: OS Manager Bereitstellung wird fehlschlagen.