Runtime-Secrets und Konfiguration verwalten
Servereinstellungen bleiben im Runtime Profile, Zugangsdaten bleiben außerhalb der Dateien von AI-Clients. LightNow Proxy löst das erlaubte Runtime-Material auf, sobald ein verwalteter Client einen MCP-Request startet.
Den richtigen Speicherort wählen
| Speicherort | Geeignet für | Beispiele |
|---|---|---|
| Runtime-Konfiguration | Werte, die sich sicher prüfen und diagnostizieren lassen | Transport, Timeout, Arbeitsverzeichnis, Input-Zuordnung |
| Runtime-Secrets | Werte, die Zugriff gewähren oder Requests signieren | API-Keys, Authorization-Header, Passwörter |
| Externer Secret-Provider | Zugangsdaten aus der Sicherheitsplattform des Unternehmens | Pfad und Feld in Vault KV v2 |
Wäre ein Wert in einem Support-Ticket unsicher, gehört er in die Secrets. Von LightNow erzeugte Verbindungsdaten sind weder Serverkonfiguration noch Server-Secrets; sie bleiben in der generierten Proxy-/Client-Konfiguration.
Einen Server konfigurieren
- Öffne das Runtime Profile in der LightNow App.
- Wähle den Server-Alias. Der Alias ist wichtig, wenn derselbe Server mehrfach im Profil vorkommt.
- Trage unkritische Werte in der Runtime-Konfiguration ein.
- Hinterlege Zugangsdaten unter Secrets. Speichere einen verschlüsselten, LightNow-verwalteten Wert oder wähle eine externe Referenz, sofern die Organisation einen Provider konfiguriert hat.
- Speichere den Server und ergänze alle in der UI gemeldeten Pflichtwerte.
Secret-Provider für Organisationen werden unter Settings → Secret management konfiguriert. Der derzeitige externe Providertyp ist Vault KV v2. Provider-Zugangsdaten und LightNow-verwaltete Secret-Werte sind nur schreibbar: UI und API können melden, dass ein Wert vorhanden ist, geben ihn aber nicht aus.
Den verwalteten Client synchronisieren
Erzeuge nach dem Speichern des Runtime Profiles die Proxy-Konfiguration für den Client neu, der das Profil verwenden soll.
lightnow sync --client codex --local-proxy
Starte den AI-Client anschließend neu. Bereits laufende Sessions können die beim Start geladene MCP-Serverliste weiterverwenden.
Bereitschaft prüfen
Prüfe zuerst, ob der Client auf den generierten Proxy-Eintrag zeigt. Teste dann genau die Proxy-Konfiguration, die dieser Client verwendet.
lightnow config-status --client codex --json lightnow-proxy --config ~/.lightnow/lightnow-proxy/codex.yaml --health --json
Der Health-Report zeigt den Runtime-Status, aber keine Secret-Werte. Ein fehlender Input bedeutet, dass im gewählten Profil, Alias oder Organisationskontext noch Material fehlt. Korrigiere den Wert im Runtime Profile und nicht in der generierten YAML- oder Client-Datei.
Ein Secret rotieren oder entfernen
Ersetze einen LightNow-verwalteten Wert oder aktualisiere seine externe Referenz in derselben Profilserver-Zeile. Entferne nicht mehr benötigte Werte, speichere das Profil und führe den Health-Check erneut aus. Der laufende Client benötigt keine Kopie des rotierten Werts, da die Runtime ihn bei Bedarf auflöst.
Fehler beheben
| Symptom | Prüfung |
|---|---|
| Die UI meldet weiterhin einen fehlenden Input | Prüfe den aktiven Personal- oder Organisationskontext, das Runtime Profile und den Server-Alias. |
| Proxy-Health meldet einen Authentifizierungsfehler | Ersetze den verwalteten Wert oder teste den externen Provider und wiederhole den Health-Check. |
| Der Client verwendet noch einen alten Wert oder eine alte Serverliste | Synchronisiere den Client erneut und starte eine neue Client-Session. |
| Ein direkter Export enthält Platzhalter | Das ist der sichere Standard. Nutze LightNow Proxy, statt Klartext einzusetzen. |
Fahre mit LightNow Proxy debuggen fort, wenn alle Werte vorhanden sind, die Runtime aber weiterhin ungesund ist. Mit den Runtime-Events untersuchst du Metadaten einer tatsächlichen Session, ohne Zugangsdaten in ein Ticket zu kopieren.