Windows Active Directory を使用した IBM Spectrum Symphony のユーザー管理の有効化

概要

IBM Spectrum Symphony を設定して、Active Directory (AD) サーバをユーザ認証のプライマリディレクトリサービスとして使用することができます。このドキュメントでは、Active Directory と DNS Server を PowerShell を使用して Windows Server 2019 にインストールおよび構成するための手順を説明します。さらに、RHEL 8.4 OS ベースの Symphony Cluster ノードを、Samba Winbind を使って AD に直接接続し、暗号化の互換性を確保し、Active Directory ドメインに参加させるプロセスもカバーしています。

このドキュメントの目的は、システム管理者がIBM Spectrum SymphonyとActive Directoryをシームレスに構成し、効率的なユーザ管理とアクセス制御を行えるようにすることです。

一般的な前提条件

構成プロセスを進める前に、以下の前提条件が満たされていることを確認してください。

Active Directory および DNS サーバーのインストールおよび構成の場合:
- 管理特権を持つ Windows Server 2019 マシン。
- PowerShell コマンドおよび Windows Server 管理に関する基本的な知識。
Samba Winbind を使用して RHEL システムを AD に直接接続する場合:
- Samba Winbind を実行できる RHEL システム。
- RHEL コマンド・ライン・インターフェースおよびシステム構成について詳しく説明します。
- Active Directory ドメインへのアクセス権限と、そのドメインに参加するための適切な権限。

ネットワークの前提条件

Active Directory を使用するように IBM Storage Scale を構成し、RHEL システムを AD に接続する前に、以下のネットワーク前提条件が満たされていることを確認してください。

ネットワーク接続: Windows Server 2019 マシン ( Active Directory と DNS がインストールされているマシン) と、ドメインに参加している RHEL システムとの間に、安定した信頼性の高いネットワーク接続が必要です。重要なポートをブロックするネットワーク通信の問題やファイアウォールがセットアップされていないことを確認します。
ファイアウォール・ルール: ファイアウォール・ルールを確認および更新して、Windows Server 2019 マシン、RHEL システム、およびドメイン・コントローラーの間で必要な通信を許可します。 AD 通信に使用されるキー・ポートには、TCP/UDP 53 (DNS)、TCP/UDP 88 (Kerberos)、TCP 135 (RPC)、TCP/UDP 389 (LDAP)、TCP/UDP 445 (SMB)、および TCP/UDP 636 (LDAPS) があります。
ドメイン・コントローラーの到達可能性: RHEL システムが、接続の問題なしに Active Directory ドメイン・コントローラーに到達できることを確認します。「ping」や「nslookup」などのツールを使用して、RHEL システムからドメイン・コントローラーのホスト名と IP アドレスを解決できることを確認します。
時刻の同期: Active Directory ドメインに参加しているすべてのシステム (Windows Server 2019 マシンおよび RHEL システムを含む) のクロックが、信頼できる時刻ソースと同期していることを確認します。時刻の同期は、適切な認証と Kerberos チケットの検証のために重要です。
ドメイン DNS 構成: Active Directory ドメインでは、DNS 設定が適切に構成されている必要があります。ドメイン・コントローラーの IP アドレスは、AD ドメインの一部であるすべてのシステム (Windows Server 2019 マシンおよび RHEL システムを含む) で 1 次 DNS サーバーとして設定する必要があります。
DNS 解決: 順方向と逆方向の両方の DNS 解決が正しく機能していることを確認します。ドメイン・コントローラーのホスト名は Windows Server 2019 マシンおよび RHEL システムから解決可能でなければならず、Windows Server 2019 マシンのホスト名は RHEL システムから解決可能でなければなりません。
DNS ドメイン・ネーム Active Directory の DNS ドメイン・ネームが、構成プロセス中に使用されるドメイン・ネームと一致することを確認します。この場合、 Active Directory に使用されるドメイン・ネーム「POCDOMAIN.LOCAL」は、構成全体で一貫している必要があります。
管理特権を持つ Active Directory ユーザー・アカウント: 管理特権を持つ Active Directory ユーザー・アカウントが、構成プロセス中に使用可能であることを確認します。このアカウントは、Windows Server 2019 マシンをドメイン・コントローラーとしてプロモートし、RHEL システムを AD ドメインに参加させるために使用されます。

Windows Server および Powershell

この手順には、以下のものが必要である：

管理特権を持つ Windows Server 2019 マシン。
PowerShell コマンドおよび Windows Server 管理に関する基本的な知識。

ステップ 1- PowerShell を使用した Windows Server 2019 への Active Directory および DNS サーバーのインストールおよび構成

管理特権を使用して PowerShell を開きます。

a. キーボードの「Windows + X」キーを押して、Power User メニューにアクセスします。

b. 管理特権で昇格された PowerShell セッションを開始するには、リストから「Windows PowerShell (管理)」を選択します。

以下の PowerShell コマンドを実行して、 Active Directory ドメイン・サービス役割および DNS サーバー役割をインストールします。

powershell code
# Install the Active Directory Domain Services Role and DNS Server Role
 Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools

以下の PowerShell コマンドを実行して、統合 DNS を使用してサーバーをドメイン・コントローラーにプロモートします。
```
powershell code
# Set the required parameters
$DomainName = "POCDOMAIN.LOCAL"
$SafeModePassword = ConvertTo-SecureString -AsPlainText "MySecureDSRMpwd2023!" -Force

# Configure and promote the server as a domain controller with integrated DNS
Install-ADDSForest -DomainName $DomainName -SafeModeAdministratorPassword  $SafeModePassword -DomainMode Win2019 -ForestMode Win2019 -InstallDNS
```
値の例:
- ドメイン名: POCDOMAIN.LOCAL
- DSRM パスワード: MySecureDSRMpwd2023!
PowerShell コマンドを実行すると、 Active Directory ドメイン・サービスおよび DNS サーバーの役割がサーバーにインストールされ、構成されます。

サーバーは自動的に再始動して、ドメイン・コントローラーのプロモーション・プロセスを完了します。
サーバーが再始動したら、プロモーション・プロセス中に作成したドメイン管理者アカウントを使用してログインし、 Active Directory と DNS 構成を確認します。

Active Directory および DNS 構成の検証

以下を確認して、 Active Directory と DNS が正しく構成されていることを確認します。

Active Directory 管理の検証

「サーバー・マネージャー」を開き、「ダッシュボード」の「Active Directory ユーザーとコンピューター」および「DNS」が「ツール」の下にリストされていることを確認します。これにより、 Active Directory および DNS 管理ツールが正常にインストールされたことが示されます。
Active Directory 「ユーザーおよびコンピューター」 を開始して、ドメイン内のユーザー・アカウント、グループ、および組織単位 (OU) を管理します。
ドメインの DNS ゾーンおよびレコードを管理するには、 「DNS 管理」 にアクセスします。
同じネットワーク内のクライアント・マシンで、新しくプロモートされたドメイン・コントローラーの IP アドレスを指すように DNS 設定を構成します。
クライアント・マシンを "POCDOMAIN.LOCAL" ドメイン。接続が成功すると、適切な DNS 解決と機能する Active Directory ドメイン・サービスが確認されます。

ステップ 2-Symphony クラスターにアクセスするユーザーのための Active Directory でのユーザー・グループおよびユーザーの作成

Windows サーバー上の Active Directory Users and Computers (ADUC) 管理ツールを使用して、「Symphony-group」という名前のユーザー・グループと、「Symphonyuser01」という名前のユーザーを Active Directory ドメイン「pocdomain.local」に作成します。

「pocdomain.local」 Active Directory ドメインでユーザー・グループおよびユーザーを作成するには、そのドメイン内での管理特権が必要です。グループおよびユーザーを作成するために必要な権限があることを確認してください。さらに、セキュアなネットワーク環境を維持するために、 Active Directory でユーザー・アカウントおよびグループを作成する際には、常に強力なパスワードを設定し、セキュリティーのベスト・プラクティスに従ってください。

Active Directory Users and Computersを開きます：

a. 管理特権で Windows サーバーにログインします。

b. 「開始」 をクリックして、「Active Directory ユーザーとコンピューター」を検索します。

c. 「Active Directory Users and Computers」管理コンソールを開始します。
ユーザーグループの作成 Symphony-group：

a. ADUC コンソールで、ユーザー・グループを作成したい「pocdomain.local」ドメイン内の組織単位 (OU) にナビゲートします。

b. OU を右クリックし、 「新規」 を選択してから、 「グループ」 を選択します。

c. 「新規オブジェクト-グループ」 ダイアログ・ボックスで、グループ名として Symphony-group と入力します。

d. グループ・スコープ (「グローバル」など) とグループ・タイプ (「セキュリティー」など) を選択します。

e. OK をクリックして、Symphony-group ユーザーグループを作成します。
ユーザーの作成 Symphonyuser01：

a. ADUC コンソールで、ユーザー「Symphonyuser01」を作成する「pocdomain.local」ドメイン内の同じ組織単位 (OU) または別の組織単位 (OU) にナビゲートします。

b. OU を右クリックして 「新規」 を選択し、 「ユーザー」 を選択します。

c. 「新規オブジェクト-ユーザー」 ダイアログ・ボックスで、新規ユーザー **symphonyuser01*に必要な情報を入力します。
- フルネーム: ユーザーのフルネーム (例えば、LSF User 01) を入力します。
- ユーザー・ログオン名: ユーザーのログオン名を入力します (例: Symphonyser01)。
- ユーザー・プリンシパル名 (UPN): UPN は、ユーザー・ログオン名とドメイン名 (例えば、 Symphonyuser01@pocdomain.local) に基づいて自動的に生成されます。
- パスワード: ユーザー・アカウントのセキュア・パスワードを設定し、ユーザーが最初のログオン時にパスワードを変更する必要があるかどうかを選択します。
- ユーザーがパスワードを変更できない: ユーザーがパスワードを変更できないようにする場合は、このオプションにチェック・マークを付けます。
- パスワードを期限切れにしない: ユーザーのパスワードを期限切れにしない場合は、このオプションにチェック・マークを付けます。
- アカウントが無効: デフォルトでは、アカウントは有効になっています。無効な状態でユーザー・アカウントを作成する場合は、このオプションをクリアします。
d. 追加のウィザード・ステップを続行するには、「次へ」をクリックしてください。

e. 入力した情報を確認し、 「完了」 をクリックして新規ユーザー「Symphonyuser01」を作成します。
「Symphonyuser01」を「Symphony-group」ユーザー・グループに追加します。

a. ADUC コンソールで、前に作成した Symphony-group ユーザー・グループを見つけます。

b. Symphony-group ユーザー・グループを右クリックして、 「プロパティー」 を選択します。 c. 「プロパティー」 ダイアログ・ボックスで、 「メンバー」 タブに移動します。

d. 「追加」 をクリックし、 「選択するオブジェクト名を入力してください」 フィールドに Symphonyuser01 と入力します。

e. 「名前の確認」 をクリックして、ユーザー名を検証します。

f. 「OK」 をクリックして、「Symphonyuser01」を「Symphony-group」ユーザー・グループに追加します。

g. 「適用」 をクリックしてから、 「OK」 をクリックして変更を保存します。

ステップ 3- Samba Winbind を使用して RHEL 8.4 ベースのシステムで実行されている Symphony クラスターを AD に直接統合する

Samba Winbind を使用した直接統合の概要

RHEL システムを Active Directory (AD) に接続するには、 Samba Winbind と realmd の 2 つのコンポーネントが必要です。 Samba Winbind は AD ID および認証ソースと対話しますが、realmd は使用可能なドメインを検出し、基礎となる RHEL システム・サービスを構成します。

Direct Integration でサポートされる Windows プラットフォームおよびオペレーティング・システム

AD フォレストとの直接統合は、以下のフォレストおよびドメインの機能レベルと互換性があります。

フォレスト機能レベルの範囲: Windows Server 2008-Windows Server 2016
ドメイン機能レベル範囲: Windows Server 2008-Windows Server 2016

直接統合でサポートされるオペレーティング・システムには、以下が含まれます

Windows Server 2022 (RHEL 8.7 以上)
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2

Windows Server 2019 および Windows Server 2022 では、新しい機能レベルが導入されておらず、Windows Server 2016 の最高機能レベルが使用されています。

AD および RHEL での共通暗号化タイプのサポートの確認

Samba Winbind は、デフォルトで RC4、 AES-128、および AES-256 Kerberos 暗号化タイプをサポートします。ただし、セキュリティー上の考慮事項により、 RC4 暗号化は非推奨になり、デフォルトで無効になっています。 AD ユーザー資格情報と信頼は引き続き RC4 暗号化に依存する可能性があるため、認証の問題が発生します。

互換性を確保するために、以下の 2 つのオプションがあります。

Active Directoryで AES 暗号化サポートを有効にします。
RHEL で RC4 サポートを有効にします。

RHEL で RC4 サポートを有効にする場合、手順は RHEL のバージョンによって異なります。詳細な手順については、公式資料を参照することをお勧めします。

Symphony クラスターと Symphony クラスター・ノードの結合

Samba Winbind は、 Red Hat Enterprise Linux (RHEL) システムを Active Directory (AD) に接続するための System Security Services Daemon (SSSD) の代替手段です。このセクションでは、realmd を使用して Samba Winbind を構成し、RHEL システムを AD ドメインに結合する方法について説明します。

Samba Winbind および realmd を使用して、RHEL 8.4 OS でホストされている Symphony クラスター・ノードを AD ドメインに結合します。

以下のパッケージをインストールして更新します。

# yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients \
samba-winbind samba-common-tools samba-winbind-krb5-locator

#yum update

AD ドメインの IP と名前を追加して /etc/hosts を更新します。以下に例を示します。

[root@amit-rhel84 ~]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
10.243.0.41 addc1.POCDomain.local

addc1.POCDomain.local は AD サーバーの FQDN 名です。

以下を使用して、 /etc/resolv.conf ファイル内の DNS エントリーを更新します。
```
sudo nmcli connection modify "System eth0" ipv4.dns "10.243.0.41" ipv4.ignore-auto-dns yes
```
このコマンドは、 /etc/resolv.conf ファイル内の DNS エントリーを更新するだけでなく、DNS エントリーがクラウド・ベースの DNS サーバーに自動更新されないようにします。

DNS ファイルで変更を確認します。

[root@amit-rhel84 ~]# cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 10.243.0.41
[root@amit-rhel84 ~]#

確認に加えて、以下の名前でドメイン・コントローラーを ping します。-ping POCDOMAIN.LOCAL シェル:

[root@amit-rhel84 ~]# ping POCDOMAIN.LOCAL
PING POCDOMAIN.LOCAL (10.243.0.41) 56(84) bytes of data.
64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=1 ttl=128 time=0.365 ms
64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=2 ttl=128 time=0.722 ms
64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=3 ttl=128 time=0.581 ms
64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=4 ttl=128 time=0.525 ms

nslookup を使用して、AD ドメインが解決可能であることを確認します。

[root@amit-rhel84 ~]#  nslookup pocdomain.local
Server:         10.243.0.41
Address:        10.243.0.41#53

Name:   pocdomain.local
Address: 10.243.0.41

Active Directory で、 Kerberos 認証のために非推奨の RC4 暗号化タイプが必要な場合は、RHEL で以下の暗号のサポートを有効にします。

# update-crypto-policies --set DEFAULT:AD-SUPPORT

このコマンドを実行すると、暗号ポリシーが更新され、マシンのリブートを求められます。
既存の /etc/samba/smb.conf Samba 構成ファイルをバックアップします。

# mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
RHEL 8.x ホストを Active Directory ドメインに参加させます。例で述べたように、 POCDOMAIN.LOCAL:

# realm join --membership-software=samba --client-software=winbind POCDOMAIN.LOCAL

このコマンドを使用すると、レルム・ユーティリティーは以下を自動的に実行します。
- pocdomain.local ドメイン内のメンバーシップ用の /etc/samba/smb.conf ファイルを作成します。
- ユーザーおよびグループの検索用の winbind モジュールを /etc/nsswitch.conf ファイルに追加します。
- /etc/pam.d/ ディレクトリー内の Pluggable Authentication Module (PAM) 構成ファイルを更新します。
- winbind サービスを開始し、システムのブート時にサービスを開始できるようにします。
(オプション) 代替 ID マッピング・バックエンドまたはカスタマイズされた ID マッピング設定を /etc/samba/smb.conf ファイルに設定します。詳しくは、 Samba ID マッピングの理解と構成を参照してください。
/etc/krb5.conf ファイルを編集して、以下のセクションを追加します。

[plugins]
localauth = {
module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
enable_only = winbind
}

winbindサービスが実行されていることを確認する。以下に例を示します。

#systemctl status winbind
[root@amit-rhel84 ~]# systemctl status winbind
winbind.service - Samba Winbind Daemon
Loaded: loaded (/usr/lib/systemd/system/winbind.service; enabled; vendor preset: disabled)
Active: active (running) since Wed 2023-08-09 08:16:16 EDT; 1h 42min ago
Docs: man:winbindd(8)
  man:samba(7)
  man:smb.conf(5)
Main PID: 4889 (winbindd)
Status: "winbindd: ready to serve connections..."
Tasks: 5 (limit: 49264)
Memory: 10.9M
CGroup: /system.slice/winbind.service
       ├─4889 /usr/sbin/winbindd --foreground --no-process-group
       ├─4893 /usr/sbin/winbindd --foreground --no-process-group
       ├─4894 /usr/sbin/winbindd --foreground --no-process-group
       ├─4924 /usr/sbin/winbindd --foreground --no-process-group
       └─5997 /usr/sbin/winbindd --foreground --no-process-group

Samba がドメイン・ユーザーおよびグループ情報を照会できるようにするには、smb を開始する前に winbind サービスが実行されている必要があります。

ディレクトリーとプリンターを共有するために samba パッケージをインストールした場合は、smb サービスを有効にして開始します。

# systemctl enable --now smb

検証ステップ

AD ドメイン内の AD 管理者アカウントなど、AD ユーザーの詳細を表示します。以下に例を示します。
```
# getent passwd " POCDOMAIN\administrator"
POCDOMAIN\administrator:*:2000500:2000513::/home/administrator@POCDOMAIN:/bin/bash
```
AD ドメイン内のドメイン・ユーザー・グループのメンバーを照会します。
```
# getent group " POCDOMAIN\Domain Users"
POCDOMAIN\domain users:x:2000513:
```
(オプション) ファイルおよびディレクトリーに対する許可を設定するときに、ドメイン・ユーザーおよびグループを使用できることを確認します。例えば、 /srv/samba/example.txt ファイルの所有者を AD\administrator に設定し、グループを AD\Domain Users に設定するには、次のようにします。
```
# sudo chown "POCDOMAIN\administrator":"POCDOMAIN\Domain Users" example.txt
```
Kerberos 認証が予期したとおりに機能することを確認します。 AD ドメイン・メンバーで、 administrator@POCDOMAIN.LOCAL M):
```
# kinit administrator@POCDOMAIN.LOCAL
```

キャッシュされた Kerberos チケットを表示します。

# klist
Ticket cache: KCM:0
Default principal: Administrator@POCDOMAIN.LOCAL

Valid starting       Expires              Service principal
12/11/2023 08:26:47  12/11/2023 18:26:47  krbtgt/POCDOMAIN.LOCAL@POCDOMAIN.LOCAL
	renew until 12/18/2023 08:26:23

使用可能なドメインを表示します。

#realm list
pocdomain.local
  type: kerberos
  realm-name: POCDOMAIN.LOCAL
  domain-name: pocdomain.local
  configured: kerberos-member
  server-software: active-directory
  client-software: winbind
  required-package: oddjob-mkhomedir
  required-package: oddjob
  required-package: samba-winbind-clients
  required-package: samba-winbind
  required-package: samba-common-tools
  login-formats: POCDOMAIN\%U
  login-policy: allow-any-login
#wbinfo --all-domains
BUILTIN
AD-CLIENT
POCDOMAIN

追加リソース-非推奨の RC4 暗号を使用しない場合は、AD で AES 暗号化タイプを有効にすることができます。

Active Directory (AD) ユーザーに root ユーザー権限を付与するには、以下のようにします。

Linux マシン上の「POCDOMAIN.LOCAL」ドメインの AD ユーザーに root ユーザー権限を付与するには、以下のようにします。

端末を開くか、 Linux マシンに接続します。
visudo コマンドを使用して sudoers ファイルを編集します。 sudo visudo
sudoers ファイルで、ユーザー特権を構成するセクションを見つけます。

# Allow root to run any commands anywhere root ALL=(ALL) ALL
「POCDOMAIN\Domain Administrators」グループの AD ユーザーが root 権限でコマンドを実行できるようにするには、root ユーザー・エントリーの下に以下の行を追加します。 %POCDOMAIN\\Domain\ Administrators ALL=(ALL) ALL

この行は、「POCDOMAIN\Domain Users」グループ内のすべての AD ユーザーに root ユーザー特権を付与します。二重円記号 ("") 特殊文字をエスケープするために使用されます。
sudoers ファイルに対する変更を保存し、エディターを終了します。「POCDOMAIN\Domain Users」グループのメンバーである AD ユーザーは、sudo コマンドを使用して root 特権でコマンドを実行できるようになりました。以下に例を示します。 sudo command_to_execute_as_root

プロンプトが出されたら、AD ユーザーは自身のパスワードを入力して認証を行い、昇格された特権でコマンドを実行する必要があります。

AD ユーザーに root ユーザー権限を付与する際には注意してください。これらの特権は、特定のタスクに必要な信頼できる個人にのみ付与することが重要です。ユーザー特権を定期的にレビューし、セキュリティーのベスト・プラクティスに従うことは、セキュアなシステム環境を維持するのに役立ちます。

ステップ 4-Symphony クラスター側でのセットアップの構成

以下は、IBM Spectrum SymphonyとActive Directoryの統合のために、Kerberos認証をLinuxホスト上で設定する手順です：

クラスターのシャットダウン

クラスター管理者の資格情報を使用して、クラスター内の任意の管理ホストにログインします。
```
#Example
egosh user logon –u Admin –x Admin
```
以下のコマンドを実行して、クラスターを正常にシャットダウンします。
```
#Example
soamcontrol app disable all
egosh service stop all
egosh ego shutdown all
```
管理ホストでのセキュリティー構成の変更: 各マネジメント・ホストで、 $EGO_CONFDIR/ego.conf ファイルを編集します。

EGO_SEC_PLUGIN を「sec_ego_gsskrb」に設定します。
```
#Example
EGO_SEC_PLUGIN=sec_ego_gsskrb
```
プラグインの構成を指定するには、EGO_SEC_CONF を設定します。
```
#Example
EGO_SEC_CONF="/EGOShare/kernel/conf,600,ERROR,/opt/EGO/kernel/log"
```
認証サーバーの EGO_SEC_KRB_SERVICENAME を Kerberos プリンシパルに設定します。
```
#Example
EGO_SEC_KRB_SERVICENAME=symphonyuser03
```
以下のパラメーターを指定して、$EGO_CONFDIR/sec_ego_gsskrb.conf ファイルを作成または変更します。
```
#Example
REALM=POCDomain.local
KRB5_KTNAME=/etc/krb5.keytab
KERBEROS_ADMIN=egoadmin
```
KRB5_KTNAME=/etc/krb5.keytab KRB5_KTNAME パラメーターは、キータブ・ファイルへの絶対パスを指定します。このファイルには、 Kerberos 認証で使用されるサービス・プリンシパルの鍵が含まれています。ここで、パスは「/etc/krb5.keytab」に設定され、認証に必要な鍵が取得されていることを確認します。

KERBEROS_ADMIN=egoadmin KERBEROS_ADMIN パラメーターは、組み込みクラスター管理者 (Admin) のユーザー名にマップする Kerberos プリンシパルを指定します。この設定では、"hpcegoadmin "に設定されているこのプリンシパルはIBM Spectrum Symphonyクラスタ内の管理タスクで重要であり、クラスタ管理者としての認証に使用されます。
コンピュート・ホストおよびクライアント・ホストに構成を適用します。

コンピュート・ホストとクライアント・ホストで変更手順を繰り返し、それぞれの $EGO_CONFDIR/ego.conf ファイルと $EGO_CONFDIR/sec_ego_gsskrb.conf ファイルの構成を調整します。
クラスターを開始し、アプリケーションを有効にします。

構成が複数のホストに適用されたら、以下のコマンドを使用してクラスターを開始し、アプリケーションを有効にします。
```
#Example
egosh ego start
soamcontrol app enable appName
```
クラスター管理ホストにログオンします。

POCDomain.local レルム内の管理ホストから、egosh コマンド・ラインを使用して管理ユーザーとしてログインします。 KERBEROS_ADMIN パラメーターで定義された Kerberos プリンシパルのパスワードを入力します。
```
#Example
egosh user logon –u Admin –x passwordegoadmin
```
AD ユーザーの追加 (必要な場合)

Linux 管理ホストの $EGO_CONFDIR/sec_ego_gsskrb.conf ファイルのENABLE_AD_USERS_MANAGEパラメータが'N'に設定されている場合、egosh user addコマンドを使用してADユーザをIBM Spectrum Symphonyに追加します。パスワードとして任意のランダム・ストリングを指定します。ユーザー・ログオンには使用されません。
```
#Example egosh user add –u ad1tester –x 111
```
ユーザーへの役割の割り当て

egosh user assignrole コマンドを使用して、ユーザー・アカウントに役割を割り当てます。例えば、コンシューマー管理者役割を ad1tester および ad2tester:
```
#Example
egosh user assignrole –u ad1tester –r CONSUMER_ADMIN –p /SymTesting/Symping73.2
```
AD ユーザーとしてログイン

egosh コマンド・ラインを使用して AD ユーザーとしてログインします。例えば、 ad1tester: としてログインするには、次のようにします。
```
#Example
egosh user logon –u ad1tester –x passwordad1tester
```

結論

このガイドは、IBM Spectrum Symphony と Active Directory を IBM Cloud 環境内でシームレスに統合しようとしているシステム管理者にとって、重要なリソースとなります。 Active Directory と、IBM Virtual Servers 上にデプロイされた RHEL システムの両方に対応できるよう、前提条件を説明し、ステップバイステップの手順を提供します。 Windows Server 2019 への Active Directory のインストールから Kerberos 認証の構成まで、このガイドは、IBM Spectrum Symphonyのインフラストラクチャ内のIBM Cloud の効率的なユーザ管理とアクセス制御を実現するための信頼できるリファレンスを提供します。