Helyi fiókok kezelése az AKS által felügyelt Microsoft Entra-integrációval

Cikk
11/01/2024

AKS-fürt üzembe helyezésekor a helyi fiókok alapértelmezés szerint engedélyezve vannak. Az RBAC- vagy a Microsoft Entra-integráció --admin engedélyezése esetén a hozzáférés továbbra is létezik nem auditozható backdoor lehetőségként. Ez a cikk bemutatja, hogyan tilthatja le a helyi fiókokat egy meglévő fürtön, hogyan hozhat létre új fürtöt letiltott helyi fiókokkal, és hogyan engedélyezheti újra a helyi fiókokat a meglévő fürtökön.

Mielőtt elkezdené

Tekintse meg az AKS által felügyelt Microsoft Entra-integráció áttekintését és beállítási utasításait.

Helyi fiókok letiltása

A helyi fiókokat a paraméterrel disable-local-accountsletilthatja. A properties.disableLocalAccounts mező hozzá lett adva a felügyelt fürt API-hoz, hogy jelezze, hogy a szolgáltatás engedélyezve van-e vagy sem a fürtön.

Feljegyzés

A Microsoft Entra-integrációt engedélyező fürtök esetén a megadott aad-admin-group-object-ids Microsoft Entra-rendszergazdai csoporthoz rendelt felhasználók továbbra is hozzáférhetnek nem rendszergazdai hitelesítő adatokkal. A Microsoft Entra-integrációval és beállítással truenem rendelkező properties.disableLocalAccounts fürtöken a felhasználói vagy rendszergazdai hitelesítő adatokkal történő hitelesítés minden kísérlete sikertelen lesz.
Miután letiltotta a helyi felhasználói fiókokat egy meglévő AKS-fürtön, ahol a felhasználók helyi fiókokkal hitelesítettek, a rendszergazdának el kell forgatnia a fürttanúsítványokat , hogy visszavonja azokat a tanúsítványokat, amelyekhez hozzáféréssel rendelkezhettek. Ha ez egy új fürt, nincs szükség műveletre.

Új fürt létrehozása helyi fiókok nélkül

Hozzon létre egy új AKS-fürtöt helyi fiókok nélkül a az aks create jelölővel ellátott disable-local-accounts paranccsal.

az aks create \
    --resource-group <resource-group> \
    --name <cluster-name> \
    --enable-aad \
    --aad-admin-group-object-ids <aad-group-id> \
    --disable-local-accounts \
    --generate-ssh-keys

A kimenetben győződjön meg arról, hogy a helyi fiókok le vannak tiltva, ha ellenőrzi, hogy a mező properties.disableLocalAccounts be van-e állítva true.
```
"properties": {
    ...
    "disableLocalAccounts": true,
    ...
}
```
Futtassa a az aks get-credentials parancsot annak ellenőrzéséhez, hogy a fürt a helyi fiókok letiltására van-e beállítva.
```
az aks get-credentials --resource-group <resource-group> --name <cluster-name> --admin
```
A kimenetnek a következő hibaüzenetnek kell megjelennie, amely azt jelzi, hogy a funkció megakadályozza a hozzáférést:
```
Operation failed with status: 'Bad Request'. Details: Getting static credential isn't allowed because this cluster is set to disable local accounts.
```

Helyi fiókok letiltása meglévő fürtön

Tiltsa le a helyi fiókokat egy meglévő Microsoft Entra-integrációt engedélyező AKS-fürtön a az aks update disable-local-accounts paraméterrel rendelkező paranccsal.
```
az aks update --resource-group <resource-group> --name <cluster-name> --disable-local-accounts
```
A kimenetben győződjön meg arról, hogy a helyi fiókok le vannak tiltva, ha ellenőrzi, hogy a mező properties.disableLocalAccounts be van-e állítva true.
```
"properties": {
    ...
    "disableLocalAccounts": true,
    ...
}
```
Futtassa a az aks get-credentials parancsot annak ellenőrzéséhez, hogy a fürt a helyi fiókok letiltására van-e beállítva.
```
az aks get-credentials --resource-group <resource-group> --name <cluster-name> --admin
```
A kimenetnek a következő hibaüzenetnek kell megjelennie, amely azt jelzi, hogy a funkció megakadályozza a hozzáférést:
```
Operation failed with status: 'Bad Request'. Details: Getting static credential isn't allowed because this cluster is set to disable local accounts.
```

Helyi fiókok újbóli engedélyezése meglévő fürtön

Engedélyezze újra a letiltott helyi fiókot egy meglévő fürtön a az aks update paraméterrel rendelkező enable-local-accounts paranccsal.
```
az aks update --resource-group <resource-group> --name <cluster-name> --enable-local-accounts
```
A kimenetben győződjön meg arról, hogy a helyi fiókok újra engedélyezve vannak, ha ellenőrzi, hogy a mező properties.disableLocalAccounts be van-e állítva false.
```
"properties": {
    ...
    "disableLocalAccounts": false,
    ...
}
```
Futtassa a az aks get-credentials parancsot annak ellenőrzéséhez, hogy a fürt engedélyezve van-e a helyi fiókok számára.
```
az aks get-credentials --resource-group <resource-group> --name <cluster-name> --admin
```
A kimenetnek a következő üzenetnek kell megjelennie, amely jelzi, hogy sikeresen engedélyezte a helyi fiókokat a fürtben:
```
Merged "<cluster-name>-admin" as current context in C:\Users\<username>\.kube\config
```

Következő lépések

További információ a Kubernetes-engedélyezés Azure RBAC-integrációjáról.

Megosztás a következőn keresztül: