Habilitación de la gestión de usuarios para IBM Spectrum Symphony utilizando Windows Active Directory

Introducción

Puede configurar IBM Spectrum Symphony para utilizar el servidor Active Directory (AD) como servicio de directorio principal para la autenticación de usuarios. El documento describe los procedimientos paso a paso para instalar y configurar Active Directory y DNS Server en Windows Server 2019 mediante PowerShell. Además, cubre el proceso de conectar el nodo Symphony Cluster basado en el sistema operativo RHEL 8.4 directamente a AD utilizando Samba Winbind, para garantizar la compatibilidad de cifrado, y unirlo a un dominio Active Directory.

El propósito de esta documentación es permitir a los administradores del sistema configurar sin problemas IBM Spectrum Symphony con Active Directory para la autenticación de usuarios, lo que permite una gestión eficiente de usuarios y control de acceso.

Requisitos previos generales

Antes de continuar con el proceso de configuración, asegúrese de que se cumplen los requisitos previos:

Para instalar y configurar Active Directory y el servidor DNS:
- Una máquina Windows Server 2019 con privilegios administrativos.
- Familiaridad básica con los mandatos PowerShell y la gestión de Windows Server.
Para conectar sistemas RHEL directamente a AD utilizando Samba Winbind:
- Un sistema RHEL capaz de ejecutar Samba Winbind.
- Familiaridad con la interfaz de línea de mandatos RHEL y la configuración del sistema.
- Acceda al dominio de Active Directory y a los permisos adecuados para unirse al dominio.

Requisitos previos de red

Antes de continuar con la configuración de IBM Storage Scale para utilizar Active Directory y conectar sistemas RHEL a AD, asegúrese de que se cumplen los siguientes requisitos previos de red:

Conectividad de red: necesita una conectividad de red estable y fiable entre la máquina de Windows Server 2019 (donde están instalados Active Directory y DNS) y los sistemas RHEL que están unidos al dominio. Verifique que no haya ningún problema de comunicación de red o cortafuegos configurado que bloquee los puertos esenciales.
Reglas de cortafuegos: Revise y actualice las reglas de cortafuegos para permitir la comunicación necesaria entre la máquina de Windows Server 2019, los sistemas RHEL y los controladores de dominio. Los puertos clave que se utilizan para la comunicación AD incluyen TCP/UDP 53 (DNS), TCP/UDP 88 (Kerberos), TCP 135 (RPC), TCP/UDP 389 (LDAP), TCP/UDP 445 (SMB) y TCP/UDP 636 (LDAPS).
Accesibilidad del controlador de dominio: Confirme que los sistemas RHEL pueden alcanzar los controladores de dominio de Active Directory sin problemas de conectividad. Utilice herramientas como "ping" o "nslookup" para verificar la capacidad de resolver el nombre de host y la dirección IP del controlador de dominio desde los sistemas RHEL.
Sincronización de tiempo: Asegúrese de que todos los sistemas que participan en el dominio de Active Directory, incluidos la máquina Windows Server 2019 y los sistemas RHEL, tengan sus relojes sincronizados con un origen de tiempo fiable. La sincronización de tiempo es crítica para la autenticación adecuada y la validación de tíquets de Kerberos.
Configuración de DNS de dominio: el dominio de Active Directory debe tener configurados correctamente los valores de DNS. La dirección IP del controlador de dominio debe establecerse como el servidor DNS primario en todos los sistemas (incluidos la máquina Windows Server 2019 y los sistemas RHEL) que forman parte del dominio AD.
Resolución de DNS: Verifique que las resoluciones de DNS de reenvío y de reenvío estén funcionando correctamente. El nombre de host del controlador de dominio debe poder resolverse desde la máquina Windows Server 2019 y los sistemas RHEL, y el nombre de host de la máquina Windows Server 2019 debe poder resolverse desde los sistemas RHEL.
Nombre de dominio DNS Asegúrese de que el nombre de dominio DNS de Active Directory coincide con el nombre de dominio que se utiliza durante el proceso de configuración. En este caso, el nombre de dominio "POCDOMAIN.LOCAL" utilizado para Active Directory debe ser coherente en toda la configuración.
Cuenta de usuario de Active Directory con privilegios administrativos: Asegúrese de que una cuenta de usuario de Active Directory con privilegios administrativos esté disponible para su uso durante el proceso de configuración. Esta cuenta se utiliza para promocionar la máquina de Windows Server 2019 como controlador de dominio y para unir los sistemas RHEL al dominio AD.

Windows Server y Powershell

Para este procedimiento necesitas:

Una máquina Windows Server 2019 con privilegios administrativos.
Familiaridad básica con los mandatos PowerShell y la gestión de Windows Server.

Paso 1-Instalación y configuración de Active Directory y el servidor DNS en Windows Server 2019 utilizando PowerShell

Abra PowerShell con privilegios administrativos:

a. Presione las teclas "Windows + X" en su teclado para acceder al menú de usuario de energía.

b. En la lista, elija "Windows PowerShell (Admin)" para iniciar una sesión de PowerShell elevada con privilegios administrativos.

Instale el rol de servicios de dominio de Active Directory y el rol de servidor DNS ejecutando estos mandatos de PowerShell:

powershell code
# Install the Active Directory Domain Services Role and DNS Server Role
 Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools

Promocione el servidor a un controlador de dominio con DNS integrado ejecutando estos mandatos PowerShell:
```
powershell code
# Set the required parameters
$DomainName = "POCDOMAIN.LOCAL"
$SafeModePassword = ConvertTo-SecureString -AsPlainText "MySecureDSRMpwd2023!" -Force

# Configure and promote the server as a domain controller with integrated DNS
Install-ADDSForest -DomainName $DomainName -SafeModeAdministratorPassword  $SafeModePassword -DomainMode Win2019 -ForestMode Win2019 -InstallDNS
```
Valores de ejemplo:
- Nombre de dominio: POCDOMAIN.LOCAL
- Contraseña de DSRM: MySecureDSRMpwd2023!
Al ejecutar los mandatos PowerShell, los roles de Servicios de dominio y Servidor DNS de Active Directory se instalan y configuran en el servidor.

El servidor se reinicia automáticamente para completar el proceso de promoción del controlador de dominio.
Una vez reiniciado el servidor, inicie sesión utilizando la cuenta de administrador de dominio que ha creado durante el proceso de promoción para verificar Active Directory y la configuración de DNS.

Verifique Active Directory y la configuración de DNS

Verifique que Active Directory y DNS están configurados correctamente comprobando:

Verificar gestión de Active Directory

Abra "Server Manager" y, en el "Panel de control", confirme que los "Usuarios y sistemas deActive Directory " y "DNS" se listan en "Herramientas", lo que indica una instalación correcta de Active Directory y las herramientas de gestión de DNS.
Inicie Active Directory Usuarios y sistemas para gestionar cuentas de usuario, grupos y unidades organizativas (OU) dentro del dominio.
Acceda a Gestión de DNS para gestionar zonas y registros DNS para el dominio.
En una máquina cliente dentro de la misma red, configure los valores de DNS para que apunten a la dirección IP del controlador de dominio recién promocionado.
Intente unir la máquina cliente al "POCDOMAIN.LOCAL" dominio. Una conexión correcta confirma la resolución de DNS adecuada y los servicios de dominio funcionales de Active Directory.

Paso 2-Creación de un grupo de usuarios y usuarios en Active Directory para los usuarios que acceden al clúster de Symphony

Cree un grupo de usuarios denominado "Symphony-group" y un usuario denominado "Symphonyuser01" en el dominio de Active Directory "pocdomain.local" utilizando la herramienta de gestión Active Directory Users and Computers (ADUC) en un servidor Windows:

La creación de grupos de usuarios y usuarios en el dominio "pocdomain.local" Active Directory requiere privilegios administrativos dentro de dicho dominio. Asegúrese de que tiene los permisos necesarios para crear grupos y usuarios. Además, establezca siempre contraseñas seguras y siga las recomendaciones de seguridad cuando cree cuentas de usuario y grupos en Active Directory para mantener un entorno de red seguro.

Abra Active Directory Usuarios y equipos:

a. Inicie sesión en Windows Server con privilegios administrativos.

b. Pulse Iniciar y busque "Usuarios y sistemas deActive Directory ".

c. Inicie la consola de gestión de "Usuarios y sistemas deActive Directory ".
Crear un Grupo de Usuarios Grupo-Symphony:

a. En la consola de ADUC, vaya a la unidad organizativa (OU) dentro del dominio "pocdomain.local" donde desea crear el grupo de usuarios.

b. Pulse con el botón derecho del ratón en la unidad organizativa y seleccione Nuevo y, a continuación, Grupo.

c. En el cuadro de diálogo Nuevo grupo de objetos, especifique Symphony-group como nombre de grupo.

d. Elija el ámbito de grupo (por ejemplo, Global) y el tipo de grupo (por ejemplo, Seguridad).

e. Haga clic en Aceptar para crear el grupo de usuarios Grupo-Symphony.
Crear un usuario Symphonyuser01:

a. En la consola de ADUC, vaya a la misma unidad organizativa (OU) o a otra distinta dentro del dominio "pocdomain.local" donde desea crear el usuario "Symphonyuser01."

b. Pulse con el botón derecho del ratón en la unidad organizativa y seleccione Nuevo y, a continuación, Usuario.

c. En el recuadro de diálogo Nuevo objeto-Usuario, especifique la información necesaria para el nuevo usuario *symphonyuser01:
- Nombre completo: especifique el nombre completo del usuario (por ejemplo, LSF User 01).
- Nombre de inicio de sesión de usuario: especifique el nombre de inicio de sesión del usuario (por ejemplo, Symphonyser01).
- Nombre principal de usuario (UPN): el UPN se genera automáticamente basándose en el nombre de inicio de sesión del usuario y el nombre de dominio (por ejemplo, Symphonyuser01@pocdomain.local).
- Contraseña: establezca una contraseña segura para la cuenta de usuario y elija si el usuario debe cambiar la contraseña en el primer inicio de sesión.
- El usuario no puede cambiar la contraseña: seleccione esta opción si desea impedir que el usuario cambie su contraseña.
- La contraseña nunca caduca: seleccione esta opción si desea que la contraseña del usuario nunca caduque.
- La cuenta está inhabilitada: de forma predeterminada, la cuenta está habilitada. Si desea crear la cuenta de usuario en un estado inhabilitado, desmarque esta opción.
d. Pulse Siguiente para continuar con los pasos adicionales del asistente.

e. Revise la información especificada y pulse Finalizar para crear el nuevo usuario "Symphonyuser01."
Añada "Symphonyuser01" al grupo de usuarios "Symphony-group":

a. En la consola de ADUC, localice el grupo de usuarios Symphony-group que ha creado anteriormente.

b. Pulse con el botón derecho del ratón en el grupo de usuarios Symphony-group y seleccione Propiedades. c. En el cuadro de diálogo Propiedades, vaya a la pestaña Miembros.

d. Pulse Añadir y, a continuación, especifique Symphonyuser01 en el campo Especifique los nombres de objeto que desea seleccionar.

e. Pulse Comprobar nombres para validar el nombre de usuario.

f. Pulse Aceptar para añadir "Symphonyuser01" al grupo de usuarios "Symphony-group".

g. Pulse Aplicar y, a continuación, Aceptar para guardar los cambios.

Paso 3-Integración del clúster Symphony que se ejecuta en sistemas basados en RHEL 8.4 directamente en AD utilizando Samba Winbind

Visión general de Direct Integration utilizando Samba Winbind

Para conectar un sistema RHEL a Active Directory (AD), se necesitan dos componentes: Samba Winbind y realmd. Samba Winbind interactúa con el origen de identidad y autenticación AD, mientras que realmd detecta los dominios disponibles y configura los servicios del sistema RHEL subyacentes.

Plataformas Windows y sistemas operativos soportados para la integración directa

La integración directa con los bosques AD es compatible con los siguientes niveles funcionales de bosques y dominios:

Rango de nivel funcional de bosque: Windows Server 2008-Windows Server 2016
Rango de nivel funcional de dominio: Windows Server 2008-Windows Server 2016

Los sistemas operativos soportados para la integración directa incluyen:

Windows Server 2022 (RHEL 8.7 y superior)
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2

Windows Server 2019 y Windows Server 2022 no introducen nuevos niveles funcionales y utilizan el nivel funcional más alto de Windows Server 2016.

Cómo garantizar el soporte para tipos de cifrado comunes en AD y RHEL

Samba Winbind da soporte de forma predeterminada a los tipos de cifrado RC4, AES-128y AES-256 Kerberos. Sin embargo, el cifrado RC4 está en desuso e inhabilitado de forma predeterminada debido a consideraciones de seguridad. Las credenciales de usuario y las confianzas de AD pueden seguir basándose en el cifrado RC4, lo que provoca problemas de autenticación.

Para garantizar la compatibilidad, tiene dos opciones:

Habilite el soporte de cifrado AES en Active Directory.
Habilite el soporte de RC4 en RHEL.

Para habilitar el soporte de RC4 en RHEL, los pasos difieren en función de la versión de RHEL. Se recomienda consultar la documentación oficial para obtener instrucciones detalladas.

Unión del clúster de Symphony con el nodo de clúster de Symphony

Samba Winbind es una alternativa al daemon de System Security Services (SSSD) para conectar un sistema Red Hat Enterprise Linux (RHEL) con Active Directory (AD). En esta sección se describe cómo unir un sistema RHEL a un dominio AD utilizando realmd para configurar Samba Winbind.

Una un nodo de clúster Symphony alojado en el sistema operativo RHEL 8.4 a un dominio AD utilizando Samba Winbind y realmd:

Instale y actualice los paquetes siguientes:

# yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients \
samba-winbind samba-common-tools samba-winbind-krb5-locator

#yum update

Actualizando /etc/hosts con la adición de IP y nombre de dominio de AD. Por ejemplo:

[root@amit-rhel84 ~]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
10.243.0.41 addc1.POCDomain.local

addc1.POCDomain.local es el nombre FQDN del servidor AD

Actualice las entradas DNS en el archivo /etc/resolv.conf utilizando:
```
sudo nmcli connection modify "System eth0" ipv4.dns "10.243.0.41" ipv4.ignore-auto-dns yes
```
Este mandato no sólo actualiza las entradas DNS en el archivo /etc/resolv.conf, sino que también garantiza que las entradas DNS no se actualicen automáticamente en servidores DNS basados en la nube.

Confirme los cambios en el archivo DNS:

[root@amit-rhel84 ~]# cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 10.243.0.41
[root@amit-rhel84 ~]#

Además de la confirmación, haga ping al controlador de dominio con el nombre:-Ping POCDOMAIN.LOCAL:

[root@amit-rhel84 ~]# ping POCDOMAIN.LOCAL
PING POCDOMAIN.LOCAL (10.243.0.41) 56(84) bytes of data.
64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=1 ttl=128 time=0.365 ms
64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=2 ttl=128 time=0.722 ms
64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=3 ttl=128 time=0.581 ms
64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=4 ttl=128 time=0.525 ms

Utilice nslookup para asegurarse de que el dominio AD se pueda resolver:

[root@amit-rhel84 ~]#  nslookup pocdomain.local
Server:         10.243.0.41
Address:        10.243.0.41#53

Name:   pocdomain.local
Address: 10.243.0.41

Si Active Directory requiere el tipo de cifrado RC4 en desuso para la autenticación Kerberos, habilite el soporte para estos cifrados en RHEL:

# update-crypto-policies --set DEFAULT:AD-SUPPORT

Después de ejecutar este mandato, actualiza las políticas criptográficas y solicita rearrancar la máquina.
Realice una copia de seguridad del archivo de configuración /etc/samba/smb.conf Samba existente:

# mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
Una el host 8.x de RHEL al dominio de Active Directory. Tal como se menciona en el ejemplo, para unir un dominio denominado POCDOMAIN.LOCAL:

# realm join --membership-software=samba --client-software=winbind POCDOMAIN.LOCAL

Cuando utilice este mandato, el programa de utilidad de reino automáticamente:
- Crea un archivo /etc/samba/smb.conf para una pertenencia al dominio pocdomain.local.
- Añade el módulo winbind para búsquedas de usuarios y grupos al archivo /etc/nsswitch.conf.
- Actualiza los archivos de configuración de Pluggable Authentication Module (PAM) en el directorio /etc/pam.d/.
- Inicia el servicio winbind y permite que el servicio se inicie cuando el sistema arranca.
(Opcional) Establezca un programa de fondo de correlación de ID alternativo o valores de correlación de ID personalizados en el archivo /etc/samba/smb.conf. Para obtener más información, consulte Descripción y configuración de la correlación de ID de Samba.
Edite el archivo /etc/krb5.conf y añada esta sección:

[plugins]
localauth = {
module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
enable_only = winbind
}

Compruebe que el servicio winbind se está ejecutando. Por ejemplo:

#systemctl status winbind
[root@amit-rhel84 ~]# systemctl status winbind
winbind.service - Samba Winbind Daemon
Loaded: loaded (/usr/lib/systemd/system/winbind.service; enabled; vendor preset: disabled)
Active: active (running) since Wed 2023-08-09 08:16:16 EDT; 1h 42min ago
Docs: man:winbindd(8)
  man:samba(7)
  man:smb.conf(5)
Main PID: 4889 (winbindd)
Status: "winbindd: ready to serve connections..."
Tasks: 5 (limit: 49264)
Memory: 10.9M
CGroup: /system.slice/winbind.service
       ├─4889 /usr/sbin/winbindd --foreground --no-process-group
       ├─4893 /usr/sbin/winbindd --foreground --no-process-group
       ├─4894 /usr/sbin/winbindd --foreground --no-process-group
       ├─4924 /usr/sbin/winbindd --foreground --no-process-group
       └─5997 /usr/sbin/winbindd --foreground --no-process-group

Para habilitar Samba para consultar información de usuario y grupo de dominio, el servicio winbind debe estar en ejecución antes de iniciar smb.

Si ha instalado el paquete samba para compartir directorios e impresoras, habilite e inicie el servicio smb:

# systemctl enable --now smb

Pasos de verificación

Mostrar detalles de usuarios de AD, como la cuenta de administrador de AD en el dominio de AD. Por ejemplo:

# getent passwd " POCDOMAIN\administrator"
POCDOMAIN\administrator:*:2000500:2000513::/home/administrator@POCDOMAIN:/bin/bash

Consulte los miembros del grupo de usuarios de dominio en el dominio AD:

# getent group " POCDOMAIN\Domain Users"
POCDOMAIN\domain users:x:2000513:

(Opcional) Verifique que puede utilizar usuarios y grupos de dominio cuando establezca permisos en archivos y directorios. Por ejemplo, para establecer el propietario del archivo /srv/samba/example.txt en AD\administrator y el grupo en AD\Domain Users:
```
# sudo chown "POCDOMAIN\administrator":"POCDOMAIN\Domain Users" example.txt
```
Verifique que la autenticación Kerberos funciona según lo esperado. En el miembro de dominio AD, obtenga un tíquet para el administrador de administrator@POCDOMAIN.LOCAL principal:
```
# kinit administrator@POCDOMAIN.LOCAL
```

Visualice el tíquet Kerberos en memoria caché:

# klist
Ticket cache: KCM:0
Default principal: Administrator@POCDOMAIN.LOCAL

Valid starting       Expires              Service principal
12/11/2023 08:26:47  12/11/2023 18:26:47  krbtgt/POCDOMAIN.LOCAL@POCDOMAIN.LOCAL
	renew until 12/18/2023 08:26:23

Visualizar los dominios disponibles:

#realm list
pocdomain.local
  type: kerberos
  realm-name: POCDOMAIN.LOCAL
  domain-name: pocdomain.local
  configured: kerberos-member
  server-software: active-directory
  client-software: winbind
  required-package: oddjob-mkhomedir
  required-package: oddjob
  required-package: samba-winbind-clients
  required-package: samba-winbind
  required-package: samba-common-tools
  login-formats: POCDOMAIN\%U
  login-policy: allow-any-login
#wbinfo --all-domains
BUILTIN
AD-CLIENT
POCDOMAIN

Recursos adicionales-Si no desea utilizar los cifrados RC4 en desuso, puede habilitar el tipo de cifrado AES en AD.

Para proporcionar permisos de usuario root a los usuarios de Active Directory (AD)

Para proporcionar permisos de usuario root a los usuarios de AD de "POCDOMAIN.LOCAL" en una máquina Linux:

Abra un terminal o conéctese a la máquina Linux.
Edite el archivo sudoers utilizando el mandato visudo: sudo visudo
Localice la sección en el archivo sudoers que configura los privilegios de usuario:

# Allow root to run any commands anywhere root ALL=(ALL) ALL
Añada la siguiente línea debajo de la entrada de usuario root para permitir a los usuarios AD del grupo "POCDOMAIN\Domain Administrators" ejecutar mandatos con privilegios root: %POCDOMAIN\\Domain\ Administrators ALL=(ALL) ALL

Esta línea otorga privilegios de usuario root a todos los usuarios AD del grupo "POCDOMAIN\Domain Users". Las barras inclinadas invertidas dobles ("") se utilizan para escapar caracteres especiales.
Guarde los cambios en el archivo sudoers y salga del editor. Los usuarios de AD que son miembros del grupo "POCDOMAIN\Domain Users" ahora pueden ejecutar mandatos con privilegios root utilizando el mandato sudo. Por ejemplo: sudo command_to_execute_as_root

Cuando se le solicite, el usuario de AD debe especificar su propia contraseña para autenticarse y ejecutar el mandato con privilegios elevados.

Tenga cuidado al otorgar permisos de usuario root a los usuarios de AD. Es importante otorgar estos privilegios sólo a personas de confianza que los requieran para tareas específicas. Revisar regularmente los privilegios de usuario y seguir las prácticas recomendadas de seguridad ayuda a mantener un entorno de sistema seguro.

Paso 4-Configuración de la configuración en el lado del clúster de Symphony

A continuación se indican los pasos para configurar Kerberos en Linux Hosts para IBM Spectrum Symphony Integración con Active Directory:

Concluir el clúster

Inicie sesión en cualquier host de gestión del clúster utilizando las credenciales de administrador del clúster.
```
#Example
egosh user logon –u Admin –x Admin
```
Ejecute los mandatos siguientes para concluir correctamente el clúster:
```
#Example
soamcontrol app disable all
egosh service stop all
egosh ego shutdown all
```
Modificar configuración de seguridad en hosts de gestión: En cada host de gestión, edite el archivo $EGO_CONFDIR/ego.conf.

Establezca EGO_SEC_PLUGIN en "sec_ego_gsskrb."
```
#Example
EGO_SEC_PLUGIN=sec_ego_gsskrb
```
Establezca EGO_SEC_CONF para especificar la configuración del plug-in:
```
#Example
EGO_SEC_CONF="/EGOShare/kernel/conf,600,ERROR,/opt/EGO/kernel/log"
```
Establezca EGO_SEC_KRB_SERVICENAME en el principal de Kerberos para el servidor de autenticación:
```
#Example
EGO_SEC_KRB_SERVICENAME=symphonyuser03
```
Cree o modifique el archivo $EGO_CONFDIR/sec_ego_gsskrb.conf con los parámetros proporcionados:
```
#Example
REALM=POCDomain.local
KRB5_KTNAME=/etc/krb5.keytab
KERBEROS_ADMIN=egoadmin
```
KRB5_KTNAME=/etc/krb5.keytab El parámetro KRB5_KTNAME designa la vía de acceso absoluta al archivo de tabla de claves. Este archivo contiene claves para el principal de servicio utilizado en la autenticación Kerberos. Aquí, la vía de acceso se establece en "/etc/krb5.keytab", asegurándose de que se recuperen las claves necesarias para la autenticación.

KERBEROS_ADMIN=egoadmin El parámetro KERBEROS_ADMIN especifica el principal de Kerberos que se correlaciona con el nombre de usuario del administrador del clúster incorporado (Admin). En esta configuración, se establece en "hpcegoadmin" Esta entidad de seguridad es importante para las tareas administrativas dentro del clúster IBM Spectrum Symphony y se utiliza para autenticarse como administrador del clúster.
Aplicar configuración a hosts de cálculo y cliente.

Repita los pasos de modificación en los hosts de cálculo y cliente, ajustando las configuraciones en sus respectivos archivos $EGO_CONFDIR/ego.conf y $EGO_CONFDIR/sec_ego_gsskrb.conf.
Inicie el clúster y habilite las aplicaciones.

Una vez que se hayan aplicado las configuraciones en los hosts, inicie el clúster y habilite las aplicaciones utilizando los mandatos siguientes:
```
#Example
egosh ego start
soamcontrol app enable appName
```
Inicie sesión en el host de gestión de clúster.

Desde un host de gestión en el dominio POCDomain.local, inicie sesión como usuario administrador utilizando la línea de mandatos egosh. Especifique la contraseña del principal de Kerberos definido en el parámetro KERBEROS_ADMIN.
```
#Example
egosh user logon –u Admin –x passwordegoadmin
```
Añadir usuarios de AD (si es necesario)

Si el parámetro ENABLE_AD_USERS_MANAGE del archivo $EGO_CONFDIR/sec_ego_gsskrb.conf de los hosts de administración Linux se estableció en 'N', utilice el comando egosh user add para agregar usuarios de AD a IBM Spectrum Symphony. Proporcione cualquier serie aleatoria como contraseña; no se utilizará para el inicio de sesión del usuario.
```
#Example egosh user add –u ad1tester –x 111
```
Asignar roles a usuarios

Asigne roles a las cuentas de usuario utilizando el mandato egosh user assignrole. Por ejemplo, para asignar el rol de administrador de consumidor a ad1tester y ad2tester:
```
#Example
egosh user assignrole –u ad1tester –r CONSUMER_ADMIN –p /SymTesting/Symping73.2
```
Iniciar sesión como usuario de AD

Inicie sesión como usuario AD utilizando la línea de mandatos egosh. Por ejemplo, para iniciar sesión como ad1tester:
```
#Example
egosh user logon –u ad1tester –x passwordad1tester
```

Conclusión

Esta guía es un recurso vital para los administradores de sistemas que deseen integrar a la perfección IBM Spectrum Symphony con Active Directory dentro del entorno IBM Cloud. Al abordar los requisitos previos y ofrecer instrucciones paso a paso, garantiza la preparación tanto para Active Directory como para los sistemas RHEL desplegados en IBM Virtual Servers. Desde la instalación de Active Directory en Windows Server 2019 hasta la configuración de la autenticación Kerberos, la guía proporciona a los administradores una referencia fiable para lograr una gestión de usuarios y un control de acceso eficientes para IBM Spectrum Symphony dentro de la infraestructura IBM Cloud.