Zum Hauptinhalt springen

Runtime-Secrets und Konfiguration verwalten

Servereinstellungen bleiben im Runtime Profile, Zugangsdaten bleiben außerhalb der Dateien von AI-Clients. LightNow Proxy löst das erlaubte Runtime-Material auf, sobald ein verwalteter Client einen MCP-Request startet.

Den richtigen Speicherort wählen

SpeicherortGeeignet fürBeispiele
Runtime-KonfigurationWerte, die sich sicher prüfen und diagnostizieren lassenTransport, Timeout, Arbeitsverzeichnis, Input-Zuordnung
Runtime-SecretsWerte, die Zugriff gewähren oder Requests signierenAPI-Keys, Authorization-Header, Passwörter
Externer Secret-ProviderZugangsdaten aus der Sicherheitsplattform des UnternehmensPfad und Feld in Vault KV v2

Wäre ein Wert in einem Support-Ticket unsicher, gehört er in die Secrets. Von LightNow erzeugte Verbindungsdaten sind weder Serverkonfiguration noch Server-Secrets; sie bleiben in der generierten Proxy-/Client-Konfiguration.

Einen Server konfigurieren

  1. Öffne das Runtime Profile in der LightNow App.
  2. Wähle den Server-Alias. Der Alias ist wichtig, wenn derselbe Server mehrfach im Profil vorkommt.
  3. Trage unkritische Werte in der Runtime-Konfiguration ein.
  4. Hinterlege Zugangsdaten unter Secrets. Speichere einen verschlüsselten, LightNow-verwalteten Wert oder wähle eine externe Referenz, sofern die Organisation einen Provider konfiguriert hat.
  5. Speichere den Server und ergänze alle in der UI gemeldeten Pflichtwerte.

Secret-Provider für Organisationen werden unter Settings → Secret management konfiguriert. Der derzeitige externe Providertyp ist Vault KV v2. Provider-Zugangsdaten und LightNow-verwaltete Secret-Werte sind nur schreibbar: UI und API können melden, dass ein Wert vorhanden ist, geben ihn aber nicht aus.

Den verwalteten Client synchronisieren

Erzeuge nach dem Speichern des Runtime Profiles die Proxy-Konfiguration für den Client neu, der das Profil verwenden soll.

Codex über LightNow Proxy synchronisieren
lightnow sync --client codex --local-proxy

Starte den AI-Client anschließend neu. Bereits laufende Sessions können die beim Start geladene MCP-Serverliste weiterverwenden.

Bereitschaft prüfen

Prüfe zuerst, ob der Client auf den generierten Proxy-Eintrag zeigt. Teste dann genau die Proxy-Konfiguration, die dieser Client verwendet.

Client-Status und Proxy-Health prüfen
lightnow config-status --client codex --json
lightnow-proxy --config ~/.lightnow/lightnow-proxy/codex.yaml --health --json

Der Health-Report zeigt den Runtime-Status, aber keine Secret-Werte. Ein fehlender Input bedeutet, dass im gewählten Profil, Alias oder Organisationskontext noch Material fehlt. Korrigiere den Wert im Runtime Profile und nicht in der generierten YAML- oder Client-Datei.

Ein Secret rotieren oder entfernen

Ersetze einen LightNow-verwalteten Wert oder aktualisiere seine externe Referenz in derselben Profilserver-Zeile. Entferne nicht mehr benötigte Werte, speichere das Profil und führe den Health-Check erneut aus. Der laufende Client benötigt keine Kopie des rotierten Werts, da die Runtime ihn bei Bedarf auflöst.

Fehler beheben

SymptomPrüfung
Die UI meldet weiterhin einen fehlenden InputPrüfe den aktiven Personal- oder Organisationskontext, das Runtime Profile und den Server-Alias.
Proxy-Health meldet einen AuthentifizierungsfehlerErsetze den verwalteten Wert oder teste den externen Provider und wiederhole den Health-Check.
Der Client verwendet noch einen alten Wert oder eine alte ServerlisteSynchronisiere den Client erneut und starte eine neue Client-Session.
Ein direkter Export enthält PlatzhalterDas ist der sichere Standard. Nutze LightNow Proxy, statt Klartext einzusetzen.

Fahre mit LightNow Proxy debuggen fort, wenn alle Werte vorhanden sind, die Runtime aber weiterhin ungesund ist. Mit den Runtime-Events untersuchst du Metadaten einer tatsächlichen Session, ohne Zugangsdaten in ein Ticket zu kopieren.