IBM Cloud Docs
Activation de la gestion des utilisateurs pour IBM Spectrum Symphony à l'aide de Windows Active Directory

Activation de la gestion des utilisateurs pour IBM Spectrum Symphony à l'aide de Windows Active Directory

Introduction

Vous pouvez configurer IBM Spectrum Symphony pour utiliser Active Directory (AD) comme service d'annuaire principal pour l'authentification des utilisateurs. Le document décrit les procédures étape par étape pour installer et configurer Active Directory et DNS Server sur Windows Server 2019 à l'aide de PowerShell. En outre, il couvre le processus de connexion du nœud Symphony Cluster basé sur le système d'exploitation RHEL 8.4 directement à AD en utilisant Samba Winbind, pour assurer la compatibilité du cryptage, et en le joignant à un domaine Active Directory.

L'objectif de cette documentation est de permettre aux administrateurs système de configurer de manière transparente IBM Spectrum Symphony avec Active Directory pour l'authentification des utilisateurs, ce qui permet une gestion efficace des utilisateurs et un contrôle de l'accès.

Conditions générales préalables

Avant de poursuivre le processus de configuration, vérifiez que les prérequis sont remplis:

  1. Pour l'installation et la configuration de Active Directory et du serveur DNS:
    • Une machine Windows Server 2019 avec des privilèges d'administration.
    • Connaissance de base des commandes PowerShell et de la gestion de Windows Server.
  2. Pour la connexion directe des systèmes RHEL à AD à l'aide de Samba Winbind:
    • Un système RHEL capable d'exécuter Samba Winbind.
    • Connaissance de l'interface de ligne de commande RHEL et de la configuration du système.
    • Accès au domaine Active Directory et droits appropriés pour rejoindre le domaine.

Conditions requises pour le réseau

Avant de procéder à la configuration d' IBM Storage Scale pour utiliser Active Directory et connecter des systèmes RHEL à AD, vérifiez que les conditions réseau suivantes sont remplies:

  1. Connectivité réseau: Vous avez besoin d'une connectivité réseau stable et fiable entre la machine Windows Server 2019 (où Active Directory et DNS sont installés) et les systèmes RHEL qui sont joints au domaine. Vérifiez qu'aucun problème de communication réseau ou pare-feu n'est configuré pour bloquer les ports essentiels.

  2. Règles de pare-feu: Examinez et mettez à jour les règles de pare-feu pour permettre la communication nécessaire entre la machine Windows Server 2019, les systèmes RHEL et les contrôleurs de domaine. Les ports clés utilisés pour la communication AD sont TCP/UDP 53 (DNS), TCP/UDP 88 (Kerberos), TCP 135 (RPC), TCP/UDP 389 (LDAP), TCP/UDP 445 (SMB) et TCP/UDP 636 (LDAPS).

  3. Accessibilité du contrôleur de domaine: vérifiez que les systèmes RHEL peuvent accéder aux contrôleurs de domaine Active Directory sans aucun problème de connectivité. Utilisez des outils tels que "ping" ou "nslookup" pour vérifier la capacité à résoudre le nom d'hôte et l'adresse IP du contrôleur de domaine à partir des systèmes RHEL.

  4. Synchronisation de l'heure: vérifiez que tous les systèmes qui participent au domaine Active Directory, y compris la machine Windows Server 2019 et les systèmes RHEL, ont leurs horloges synchronisées avec une source d'heure fiable. La synchronisation de l'heure est essentielle pour une authentification correcte et la validation des tickets Kerberos.

  5. Configuration DNS de domaine: le domaine Active Directory doit disposer de paramètres DNS correctement configurés. L'adresse IP du contrôleur de domaine doit être définie en tant que serveur DNS principal sur tous les systèmes (y compris la machine Windows Server 2019 et les systèmes RHEL) qui font partie du domaine AD.

  6. Résolution DNS: Vérifiez que les résolutions DNS en aval et en amont fonctionnent correctement. Le nom d'hôte du contrôleur de domaine doit pouvoir être résolu à partir de la machine Windows Server 2019 et des systèmes RHEL, et le nom d'hôte de la machine Windows Server 2019 doit pouvoir être résolu à partir des systèmes RHEL.

  7. Nom de domaine DNS Vérifiez que le nom de domaine DNS de Active Directory correspond au nom de domaine utilisé lors du processus de configuration. Dans ce cas, le nom de domaine "POCDOMAIN.LOCAL" utilisé pour Active Directory doit être cohérent dans toute la configuration.

  8. Compte utilisateurActive Directory avec des privilèges d'administration: Vérifiez qu'un compte utilisateur Active Directory avec des privilèges d'administration est disponible pour être utilisé lors du processus de configuration. Ce compte est utilisé pour promouvoir la machine Windows Server 2019 en tant que contrôleur de domaine et pour joindre les systèmes RHEL au domaine AD.

Windows Server et Powershell

Pour cette procédure, vous avez besoin de

  • Une machine Windows Server 2019 avec des privilèges d'administration.
  • Connaissance de base des commandes PowerShell et de la gestion de Windows Server.

Etape 1-Installation et configuration d' Active Directory et de DNS Server sur Windows Server 2019 à l'aide de PowerShell

  1. Ouvrez PowerShell avec des privilèges d'administration:

    a. Appuyez sur les touches "Windows + X" de votre clavier pour accéder au menu Power User.

    b. Dans la liste, choisissez "Windows PowerShell (Admin)" pour démarrer une session PowerShell élevée avec des privilèges d'administration.

  2. Installez le rôle de services de domaine Active Directory et le rôle de serveur DNS en exécutant les commandes PowerShell suivantes:

    powershell code
    # Install the Active Directory Domain Services Role and DNS Server Role
     Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools
    
  3. Promouvez le serveur vers un contrôleur de domaine avec DNS intégré en exécutant les commandes PowerShell suivantes:

    powershell code
    # Set the required parameters
    $DomainName = "POCDOMAIN.LOCAL"
    $SafeModePassword = ConvertTo-SecureString -AsPlainText "MySecureDSRMpwd2023!" -Force
    
    # Configure and promote the server as a domain controller with integrated DNS
    Install-ADDSForest -DomainName $DomainName -SafeModeAdministratorPassword  $SafeModePassword -DomainMode Win2019 -ForestMode Win2019 -InstallDNS
    

    Exemples de valeurs :

    • Nom de domaine: POCDOMAIN.LOCAL
    • Mot de passe DSRM: MySecureDSRMpwd2023!

    Lorsque vous exécutez les commandes PowerShell, les rôles Active Directory Domain Services et DNS Server sont installés et configurés sur le serveur.

    Le serveur redémarre automatiquement pour terminer le processus de promotion du contrôleur de domaine.

  4. Une fois le serveur redémarré, connectez-vous à l'aide du compte administrateur de domaine que vous avez créé lors du processus de promotion pour vérifier Active Directory et la configuration DNS.

Vérification de la configuration d' Active Directory et DNS

Vérifiez que Active Directory et DNS sont configurés correctement en vérifiant:

  1. Vérifiez la gestion d' Active Directory

    Ouvrez "Server Manager" et dans le "Tableau de bord", confirmez que "Active Directory Users and Computers" et "DNS" sont répertoriés sous "Tools", ce qui indique que l'installation de Active Directory et des outils de gestion DNS a abouti.

  2. Démarrez Active Directory Users and Computers pour gérer les comptes utilisateur, les groupes et les unités organisationnelles (OU) du domaine.

  3. Accédez à DNS Manage r pour gérer les zones et les enregistrements DNS du domaine.

  4. Sur une machine client du même réseau, configurez les paramètres DNS pour qu'ils pointent vers l'adresse IP du contrôleur de domaine nouvellement promu.

  5. Tentative de jointure de la machine client au domaine "POCDOMAIN.LOCAL" domaine. Une connexion réussie confirme la résolution DNS appropriée et les services de domaine Active Directory fonctionnels.

Etape 2-Création d'un groupe d'utilisateurs et d'utilisateurs dans Active Directory pour les utilisateurs qui accèdent au cluster Symphony

Créez un groupe d'utilisateurs nommé "Symphony-group" et un utilisateur nommé "Symphonyuser01" dans le domaine Active Directory "pocdomain.local" à l'aide de l'outil de gestion Active Directory Users and Computers (ADUC) sur un serveur Windows:

La création de groupes d'utilisateurs et d'utilisateurs dans le domaine "pocdomain.local" Active Directory requiert des privilèges d'administration dans ce domaine. Vérifiez que vous disposez des droits nécessaires pour créer des groupes et des utilisateurs. En outre, définissez toujours des mots de passe forts et suivez les meilleures pratiques de sécurité lorsque vous créez des comptes utilisateur et des groupes dans Active Directory afin de maintenir un environnement réseau sécurisé.

  1. Ouvrez Active Directory Utilisateurs et ordinateurs :

    a. Connectez-vous au serveur Windows avec des privilèges d'administration.

    b. Cliquez sur Démarrer et recherchez "Utilisateurs et ordinateursActive Directory ".

    c. Démarrez la console de gestion "Active Directory Users and Computers".

  2. Créer un groupe d'utilisateurs Groupe Symphonie:

    a. Dans la console ADUC, accédez à l'unité organisationnelle (OU) dans le domaine "pocdomain.local" dans lequel vous souhaitez créer le groupe d'utilisateurs.

    b. Cliquez avec le bouton droit de la souris sur l'unité organisationnelle et sélectionnez Nouveau, puis Groupe.

    c. Dans la boîte de dialogue New Object-Group, entrez Symphony-group comme nom de groupe.

    d. Choisissez la portée de groupe (par exemple, Global) et le type de groupe (par exemple, Sécurité).

    e. Cliquez sur OK pour créer le Groupe Symphonie groupe d'utilisateurs.

  3. Créer un utilisateur Symphonyuser01:

    a. Dans la console ADUC, accédez à la même unité organisationnelle (OU) ou à une unité organisationnelle différente dans le domaine "pocdomain.local" dans lequel vous souhaitez créer l'utilisateur "Symphonyuser01."

    b. Cliquez avec le bouton droit de la souris sur l'unité organisationnelle et sélectionnez Nouveau, puis Utilisateur.

    c. Dans la boîte de dialogue Nouvel objet-Utilisateur, entrez les informations requises pour le nouvel utilisateur *symphonyuser01:

    • Nom complet: entrez le nom complet de l'utilisateur (par exemple, LSF User 01).

    • Nom de connexion de l'utilisateur: entrez le nom de connexion de l'utilisateur (par exemple, Symphonyser01).

    • Nom principal d'utilisateur (UPN): le nom principal d'utilisateur est automatiquement généré en fonction du nom de connexion de l'utilisateur et du nom de domaine (par exemple, Symphonyuser01@pocdomain.local).

    • Mot de passe: définissez un mot de passe sécurisé pour le compte utilisateur et choisissez si l'utilisateur doit modifier le mot de passe lors de la première connexion.

    • L'utilisateur ne peut pas modifier le mot de passe: cochez cette option si vous souhaitez empêcher l'utilisateur de modifier son mot de passe.

    • Le mot de passe n'expire jamais: cochez cette option si vous souhaitez que le mot de passe de l'utilisateur n'expire jamais.

    • Compte désactivé: par défaut, le compte est activé. Si vous souhaitez créer le compte utilisateur à l'état désactivé, désélectionnez cette option.

    d. Cliquez sur Suivant pour passer à d'autres étapes de l'assistant.

    e. Passez en revue les informations saisies et cliquez sur Terminer pour créer le nouvel utilisateur "Symphonyuser01."

  4. Ajoutez "Symphonyuser01" au groupe d'utilisateurs "Symphony-group":

    a. Dans la console ADUC, recherchez le groupe d'utilisateurs Symphony-group que vous avez créé précédemment.

    b. Cliquez avec le bouton droit de la souris sur le groupe d'utilisateurs Symphony-group et sélectionnez Propriétés. c. Dans la boîte de dialogue Propriétés, accédez à l'onglet Membres.

    d. Cliquez sur Ajouter, puis entrez Symphonyuser01 dans la zone Entrez les noms d'objet à sélectionner.

    e. Cliquez sur Vérifier les noms pour valider le nom d'utilisateur.

    f. Cliquez sur OK pour ajouter "Symphonyuser01" au groupe d'utilisateurs "Symphony-group".

    . Cliquez sur Appliquer, puis sur OK pour enregistrer les modifications.

Etape 3-Intégration d'un cluster Symphony s'exécutant sur des systèmes basés sur RHEL 8.4 directement à AD à l'aide de Samba Winbind

Présentation de l'intégration directe à l'aide de Samba Winbind

Pour connecter un système RHEL à Active Directory (AD), deux composants sont nécessaires: Samba Winbind et realmd. Samba Winbind interagit avec l'identité AD et la source d'authentification, tandis que realmd détecte les domaines disponibles et configure les services système RHEL sous-jacents.

Plateformes Windows et systèmes d'exploitation pris en charge pour l'intégration directe

L'intégration directe avec les forêts AD est compatible avec les niveaux fonctionnels de forêt et de domaine suivants:

  • Plage de niveau fonctionnel de la forêt: Windows Server 2008-Windows Server 2016
  • Plage de niveaux fonctionnels de domaine: Windows Server 2008-Windows Server 2016

Les systèmes d'exploitation pris en charge pour l'intégration directe sont les suivants:

  • Windows Server 2022 (RHEL 8.7 et versions ultérieures)
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Windows Server 2019 et Windows Server 2022 n'introduisent pas de nouveaux niveaux fonctionnels et utilisent le niveau fonctionnel le plus élevé de Windows Server 2016.

Prise en charge des types de chiffrement communs dans AD et RHEL

Samba Winbind prend en charge les types de chiffrement RC4, AES-128et AES-256 Kerberos par défaut. Toutefois, le chiffrement RC4 est obsolète et désactivé par défaut pour des raisons de sécurité. Les données d'identification et les accréditations de l'utilisateur AD peuvent toujours s'appuyer sur le chiffrement RC4, ce qui entraîne des problèmes d'authentification.

Pour garantir la compatibilité, vous disposez de deux options:

  • Activez la prise en charge du chiffrement AES dans Active Directory.
  • Activez la prise en charge de RC4 dans RHEL.

Pour activer la prise en charge de RC4 dans RHEL, les étapes varient en fonction de la version de RHEL. Il est recommandé de se référer à la documentation officielle pour des instructions détaillées.

Jointure d'un cluster Symphony avec un noeud de cluster Symphony

Samba Winbind est une alternative au démon SSSD (System Security Services Daemon) pour la connexion d'un système Red Hat Enterprise Linux (RHEL) à Active Directory (AD). Cette section explique comment joindre un système RHEL à un domaine AD à l'aide de realmd pour configurer Samba Winbind.

Joignez un noeud de cluster Symphony hébergé sur RHEL 8.4 OS à un domaine AD à l'aide de Samba Winbind et realmd:

  1. Installez et mettez à jour les packages suivants:

    # yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients \
    samba-winbind samba-common-tools samba-winbind-krb5-locator
    
    #yum update
    
  2. Mise à jour du fichier /etc/hosts avec ajout d'une adresse IP et d'un nom de domaine AD. Exemple :

    [root@amit-rhel84 ~]# cat /etc/hosts
    127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
    ::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
    10.243.0.41 addc1.POCDomain.local
    

    addc1.POCDomain.local est le nom de nom de domaine complet du serveur AD

  3. Mettez à jour les entrées DNS dans le fichier /etc/resolv.conf à l'aide de la commande suivante:

    sudo nmcli connection modify "System eth0" ipv4.dns "10.243.0.41" ipv4.ignore-auto-dns yes
    

    Cette commande permet non seulement de mettre à jour les entrées DNS dans le fichier /etc/resolv.conf, mais également de s'assurer que les entrées DNS ne sont pas mises à jour automatiquement sur les serveurs DNS basés sur le cloud

  4. Confirmez les modifications dans le fichier DNS:

    [root@amit-rhel84 ~]# cat /etc/resolv.conf
    # Generated by NetworkManager
    nameserver 10.243.0.41
    [root@amit-rhel84 ~]#
    

    En plus de la confirmation, envoyez une commande ping au contrôleur de domaine avec le nom:-Ping POCDOMAIN.LOCAL:

    [root@amit-rhel84 ~]# ping POCDOMAIN.LOCAL
    PING POCDOMAIN.LOCAL (10.243.0.41) 56(84) bytes of data.
    64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=1 ttl=128 time=0.365 ms
    64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=2 ttl=128 time=0.722 ms
    64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=3 ttl=128 time=0.581 ms
    64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=4 ttl=128 time=0.525 ms
    
  5. Utilisez nslookup pour vous assurer que le domaine AD peut être résolu:

    [root@amit-rhel84 ~]#  nslookup pocdomain.local
    Server:         10.243.0.41
    Address:        10.243.0.41#53
    
    Name:   pocdomain.local
    Address: 10.243.0.41
    
  6. Si Active Directory requiert le type de chiffrement RC4 obsolète pour l'authentification Kerberos, activez la prise en charge de ces chiffrements dans RHEL:

    # update-crypto-policies --set DEFAULT:AD-SUPPORT

    Une fois que vous avez exécuté cette commande, elle met à jour les règles de chiffrement et vous demande de réamorcer la machine.

  7. Sauvegardez le fichier de configuration /etc/samba/smb.conf Samba existant:

    # mv /etc/samba/smb.conf /etc/samba/smb.conf.bak

  8. Associez l'hôte RHEL 8.x au domaine Active Directory. Comme indiqué dans l'exemple, pour joindre un domaine nommé POCDOMAIN.LOCAL:

    # realm join --membership-software=samba --client-software=winbind POCDOMAIN.LOCAL

    Lorsque vous utilisez cette commande, l'utilitaire de domaine:

    • Crée un fichier /etc/samba/smb.conf pour une appartenance au domaine pocdomain.local.
    • Ajoute le module winbind pour les recherches d'utilisateurs et de groupes au fichier /etc/nsswitch.conf.
    • Met à jour les fichiers de configuration du module PAM (Pluggable Authentication Module) dans le répertoire /etc/pam.d/.
    • Démarre le service winbind et permet au service de démarrer à l'amorçage du système.
  9. (Facultatif) Définissez un autre paramètre de mappage d'ID de back end ou de mappage d'ID personnalisé dans le fichier /etc/samba/smb.conf. Pour plus d'informations, voir Présentation et configuration du mappage d'ID Samba.

  10. Editez le fichier /etc/krb5.conf et ajoutez la section suivante:

[plugins]
localauth = {
module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
enable_only = winbind
}
  1. Vérifiez que le service winbind est en cours d'exécution. Exemple :
#systemctl status winbind
[root@amit-rhel84 ~]# systemctl status winbind
winbind.service - Samba Winbind Daemon
Loaded: loaded (/usr/lib/systemd/system/winbind.service; enabled; vendor preset: disabled)
Active: active (running) since Wed 2023-08-09 08:16:16 EDT; 1h 42min ago
Docs: man:winbindd(8)
  man:samba(7)
  man:smb.conf(5)
Main PID: 4889 (winbindd)
Status: "winbindd: ready to serve connections..."
Tasks: 5 (limit: 49264)
Memory: 10.9M
CGroup: /system.slice/winbind.service
       ├─4889 /usr/sbin/winbindd --foreground --no-process-group
       ├─4893 /usr/sbin/winbindd --foreground --no-process-group
       ├─4894 /usr/sbin/winbindd --foreground --no-process-group
       ├─4924 /usr/sbin/winbindd --foreground --no-process-group
       └─5997 /usr/sbin/winbindd --foreground --no-process-group

Pour permettre à Samba d'interroger les informations d'utilisateur et de groupe de domaine, le service winbind doit être en cours d'exécution avant de démarrer smb.

Si vous avez installé le package samba pour partager des répertoires et des imprimantes, activez et démarrez le service smb:

# systemctl enable --now smb

Etapes de vérification

  1. Afficher les détails des utilisateurs AD, tels que le compte administrateur AD dans le domaine AD. Exemple :

    # getent passwd " POCDOMAIN\administrator"
    POCDOMAIN\administrator:*:2000500:2000513::/home/administrator@POCDOMAIN:/bin/bash
    
  2. Interrogez les membres du groupe d'utilisateurs de domaine dans le domaine AD:

    # getent group " POCDOMAIN\Domain Users"
    POCDOMAIN\domain users:x:2000513:
    
  3. (Facultatif) Vérifiez que vous pouvez utiliser des utilisateurs et des groupes de domaine lorsque vous définissez des droits sur des fichiers et des répertoires. Par exemple, pour définir le propriétaire du fichier /srv/samba/example.txt sur AD\administrator et le groupe sur AD\Domain Users:

    # sudo chown "POCDOMAIN\administrator":"POCDOMAIN\Domain Users" example.txt
    
  4. Vérifiez que l'authentification Kerberos fonctionne comme prévu. Sur le membre de domaine AD, obtenez un ticket pour l'administrateur administrator@POCDOMAIN.LOCAL LOCAL:

    # kinit administrator@POCDOMAIN.LOCAL
    
  5. Affichez le ticket Kerberos mis en cache:

    # klist
    Ticket cache: KCM:0
    Default principal: Administrator@POCDOMAIN.LOCAL
    
    Valid starting       Expires              Service principal
    12/11/2023 08:26:47  12/11/2023 18:26:47  krbtgt/POCDOMAIN.LOCAL@POCDOMAIN.LOCAL
    	renew until 12/18/2023 08:26:23
    
    
  6. Affichez les domaines disponibles:

    #realm list
    pocdomain.local
      type: kerberos
      realm-name: POCDOMAIN.LOCAL
      domain-name: pocdomain.local
      configured: kerberos-member
      server-software: active-directory
      client-software: winbind
      required-package: oddjob-mkhomedir
      required-package: oddjob
      required-package: samba-winbind-clients
      required-package: samba-winbind
      required-package: samba-common-tools
      login-formats: POCDOMAIN\%U
      login-policy: allow-any-login
    #wbinfo --all-domains
    BUILTIN
    AD-CLIENT
    POCDOMAIN
    

Ressources supplémentaires-Si vous ne souhaitez pas utiliser les chiffrements RC4 obsolètes, vous pouvez activer le type de chiffrement AES dans AD.

Pour fournir des droits d'utilisateur root aux utilisateurs Active Directory (AD)

Pour fournir des droits d'utilisateur root aux utilisateurs AD de "POCDOMAIN.LOCAL" sur une machine Linux:

  1. Ouvrez un terminal ou connectez-vous à la machine Linux.

  2. Editez le fichier sudoers à l'aide de la commande visudo: sudo visudo

  3. Localisez la section dans le fichier sudoers qui configure les privilèges utilisateur:

    # Allow root to run any commands anywhere root ALL=(ALL) ALL

  4. Ajoutez la ligne suivante sous l'entrée utilisateur root pour permettre aux utilisateurs AD du groupe "POCDOMAIN\Domain Administrators" d'exécuter des commandes avec des privilèges de superutilisateur: %POCDOMAIN\\Domain\ Administrators ALL=(ALL) ALL

    Cette ligne accorde des privilèges d'utilisateur root à tous les utilisateurs AD du groupe "POCDOMAIN\Domain Users". Les doubles barres obliques inversées ("") sont utilisés pour échapper les caractères spéciaux.

  5. Sauvegardez les modifications apportées au fichier sudoers et quittez l'éditeur. Les utilisateurs AD qui sont membres du groupe "POCDOMAIN\Domain Users" peuvent désormais exécuter des commandes avec des privilèges root à l'aide de la commande sudo. Exemple : sudo command_to_execute_as_root

    Lorsque vous y êtes invité, l'utilisateur AD doit entrer son propre mot de passe pour s'authentifier et exécuter la commande avec des privilèges élevés.

Soyez prudent lorsque vous accordez des droits d'utilisateur root à des utilisateurs AD. Il est important d'accorder ces privilèges uniquement aux personnes de confiance qui en ont besoin pour des tâches spécifiques. L'examen régulier des privilèges utilisateur et le respect des meilleures pratiques en matière de sécurité permettent de maintenir un environnement système sécurisé.

Etape 4-Configuration de la configuration côté cluster Symphony

Les étapes suivantes permettent de configurer l'authentification Kerberos sur les hôtes Linux pour IBM Spectrum Symphony l'intégration avec Active Directory:

  1. Arrêter le cluster

    Connectez-vous à n'importe quel hôte de gestion du cluster à l'aide des données d'identification de l'administrateur de cluster.

    #Example
    egosh user logon –u Admin –x Admin
    

    Exécutez les commandes suivantes pour arrêter correctement le cluster:

    #Example
    soamcontrol app disable all
    egosh service stop all
    egosh ego shutdown all
    
  2. Modifier la configuration de la sécurité sur les hôtes de gestion: Sur chaque hôte de gestion, éditez le fichier $EGO_CONFDIR/ego.conf.

    Définissez EGO_SEC_PLUGIN sur "sec_ego_gsskrb".

    #Example
    EGO_SEC_PLUGIN=sec_ego_gsskrb
    

    Définissez EGO_SEC_CONF pour spécifier la configuration du plug-in:

    #Example
    EGO_SEC_CONF="/EGOShare/kernel/conf,600,ERROR,/opt/EGO/kernel/log"
    

    Définissez EGO_SEC_KRB_SERVICENAME sur le principal Kerberos pour le serveur d'authentification:

    #Example
    EGO_SEC_KRB_SERVICENAME=symphonyuser03
    

    Créez ou modifiez le fichier $EGO_CONFDIR/sec_ego_gsskrb.conf avec les paramètres fournis:

    #Example
    REALM=POCDomain.local
    KRB5_KTNAME=/etc/krb5.keytab
    KERBEROS_ADMIN=egoadmin
    

    KRB5_KTNAME=/etc/krb5.keytab Le paramètre KRB5_KTNAME désigne le chemin d'accès absolu au fichier de clés. Ce fichier contient des clés pour le principal de service utilisé dans l'authentification Kerberos. Ici, le chemin est défini sur "/etc/krb5.keytab", en veillant à ce que les clés nécessaires soient extraites pour l'authentification.

    KERBEROS_ADMIN=egoadmin Le paramètre KERBEROS_ADMIN spécifie le principal Kerberos qui est mappé au nom d'utilisateur de l'administrateur de cluster intégré (Admin). Dans cette configuration, il s'agit de "hpcegoadmin" Ce principal est important pour les tâches administratives au sein du cluster IBM Spectrum Symphony et est utilisé pour s'authentifier en tant qu'administrateur du cluster.

  3. Appliquez la configuration aux hôtes de calcul et aux hôtes client.

    Répétez les étapes de modification sur les hôtes de calcul et les hôtes client, en ajustant les configurations dans leurs fichiers $EGO_CONFDIR/ego.conf et $EGO_CONFDIR/sec_ego_gsskrb.conf respectifs.

  4. Démarrez le cluster et activez les applications.

    Une fois les configurations appliquées sur les hôtes, démarrez le cluster et activez les applications à l'aide des commandes suivantes:

    #Example
    egosh ego start
    soamcontrol app enable appName
    
  5. Connectez-vous à l'hôte de gestion de cluster.

    A partir d'un hôte de gestion du domaine POCDomain.local, connectez-vous en tant qu'administrateur à l'aide de la ligne de commande egosh. Entrez le mot de passe du principal Kerberos défini dans le paramètre KERBEROS_ADMIN.

    #Example
    egosh user logon –u Admin –x passwordegoadmin
    
  6. Ajouter des utilisateurs AD (si requis)

    Si le paramètre ENABLE_AD_USERS_MANAGE du fichier $EGO_CONFDIR/sec_ego_gsskrb.conf des hôtes de gestion Linux est défini sur "N", utilisez la commande egosh user add pour ajouter des utilisateurs AD à IBM Spectrum Symphony. Indiquez une chaîne aléatoire comme mot de passe ; elle ne sera pas utilisée pour la connexion de l'utilisateur.

    #Example egosh user add –u ad1tester –x 111
    
  7. Affecter des rôles aux utilisateurs

    Affectez des rôles aux comptes utilisateur à l'aide de la commande egosh user assignrole. Par exemple, pour affecter le rôle d'administrateur de consommateur à ad1tester et ad2tester:

    #Example
    egosh user assignrole –u ad1tester –r CONSUMER_ADMIN –p /SymTesting/Symping73.2
    
  8. Connexion en tant qu'utilisateur AD

    Connectez-vous en tant qu'utilisateur AD à l'aide de la ligne de commande egosh. Par exemple, pour vous connecter en tant que ad1tester:

    #Example
    egosh user logon –u ad1tester –x passwordad1tester
    

Conclusion

Ce guide constitue une ressource essentielle pour les administrateurs système qui cherchent à intégrer de manière transparente IBM Spectrum Symphony avec Active Directory dans l'environnement IBM Cloud. En abordant les conditions préalables et en fournissant des instructions étape par étape, il garantit la préparation des systèmes Active Directory et RHEL déployés sur IBM Virtual Servers. De l'installation d'Active Directory sur Windows Server 2019 à la configuration de l'authentification Kerberos, le guide fournit aux administrateurs une référence fiable pour réaliser une gestion efficace des utilisateurs et un contrôle d'accès pour IBM Spectrum Symphony au sein de l'infrastructure IBM Cloud.