Ativando o Gerenciamento de Usuário para IBM Spectrum Symphony usando o Windows Active Directory

Introdução

Você pode configurar o IBM Spectrum Symphony para usar o servidor Active Directory (AD) como o serviço de diretório principal para autenticação de usuário. O documento descreve os procedimentos passo a passo para instalar e configurar o Active Directory e o DNS Server no Windows Server 2019 usando o PowerShell. Além disso, ele aborda o processo de conexão do nó do Symphony Cluster baseado no sistema operacional RHEL 8.4 diretamente ao AD usando o Samba Winbind, para garantir a compatibilidade da criptografia, e unindo-o a um domínio Active Directory.

O objetivo desta documentação é permitir que os administradores de sistemas configurem perfeitamente o IBM Spectrum Symphony com o Active Directory para autenticação de usuários, permitindo o gerenciamento eficiente de usuários e o controle de acesso.

Pré-requisitos gerais

Antes de continuar com o processo de configuração, assegure-se de que os pré-requisitos sejam atendidos:

Para Instalar e Configurar o Active Directory e o Servidor DNS:
- Uma máquina do Windows Server 2019 com privilégios administrativos.
- Familiaridade básica com comandos do PowerShell e gerenciamento do Windows Server.
Para conectar sistemas RHEL diretamente ao AD usando o Winbind do Samba:
- Um sistema RHEL capaz de executar Samba Winbind.
- Familiaridade com a interface da linha de comandos do RHEL e a configuração do sistema
- Acesso ao domínio Active Directory e permissões apropriadas para associar o domínio.

Pré-requisitos de rede.

Antes de continuar com a configuração do IBM Storage Scale para usar o Active Directory e conectar sistemas RHEL ao AD, assegure-se de que os pré-requisitos de rede a seguir sejam atendidos:

Conectividade de rede: é necessária uma conectividade de rede estável e confiável entre a máquina do Windows Server 2019 (em que o Active Directory e o DNS estão instalados) e os sistemas RHEL que são unidos ao domínio. Verifique se nenhum problema de comunicação de rede ou firewall está configurado para bloquear portas essenciais.
Regras de firewall: revise e atualize as regras de firewall para permitir a comunicação necessária entre a máquina do Windows Server 2019, os sistemas RHEL e os controladores de domínio. As principais portas que são usadas para comunicação do AD incluem TCP/UDP 53 (DNS), TCP/UDP 88 (Kerberos), TCP 135 (RPC), TCP/UDP 389 (LDAP), TCP/UDP 445 (SMB) e TCP/UDP 636 (LDAPS).
Alcance do controlador de domínio: Confirme se os sistemas RHEL podem atingir os controladores de domínio do Active Directory sem quaisquer problemas de conectividade... Use ferramentas como "ping" ou "nslookup" para verificar a capacidade de resolver o nome do host e o endereço IP do controlador de domínio dos sistemas RHEL.
Sincronização de horário: assegure-se de que todos os sistemas que estão participando do domínio do Active Directory, incluindo a máquina Windows Server 2019 e os sistemas RHEL, tenham seus relógios sincronizados com uma origem de tempo confiável. A sincronização de tempo é crítica para autenticação adequada e validação de chamado do Kerberos.
Configuração de DNS do Domínio: O domínio do Active Directory deve ter definições de DNS corretamente. O endereço IP do controlador de domínio deve ser configurado como o servidor DNS primário em todos os sistemas (incluindo a máquina Windows Server 2019 e os sistemas RHEL) que fazem parte do domínio AD.
Resolução de DNS: Verifique se as resoluções de DNS de encaminhamento e reverso estão funcionando corretamente. O nome do host do controlador de domínio deve ser resolvido a partir da máquina do Windows Server 2019 e dos sistemas RHEL e o nome do host da máquina do Windows Server 2019 deve ser resolvido a partir dos sistemas RHEL.
Nome do domínio DNS Assegure-se de que o nome do domínio DNS do Active Directory corresponda ao nome de domínio usado durante o processo de configuração. Nesse caso, o nome de domínio "POCDOMAIN.LOCAL" usado para o Active Directory deve ser consistente em toda a configuração.
Conta do usuário doActive Directory com privilégios administrativos: Assegure-se de que uma conta do usuário do Active Directory com privilégios administrativos esteja disponível para ser usada durante o processo de configuração. Essa conta é usada para promover a máquina Windows Server 2019 como um controlador de domínio e para associar os sistemas RHEL ao domínio AD.

Windows Server e Powershell

Para esse procedimento, você precisa:

Uma máquina do Windows Server 2019 com privilégios administrativos.
Familiaridade básica com comandos do PowerShell e gerenciamento do Windows Server.

Etapa 1-Instalando e configurando o Active Directory e o servidor DNS no Windows Server 2019 usando PowerShell

Abra o PowerShell com privilégios administrativos:

a. Pressione as teclas "Windows + X" no teclado para acessar o menu Power User.

b. Na lista, escolha "Windows PowerShell (Admin)" para iniciar uma sessão elevada do PowerShell com privilégios administrativos.

Instale a Função de Serviços de Domínio do Active Directory e a Função de Servidor DNS executando estes comandos PowerShell:

powershell code
# Install the Active Directory Domain Services Role and DNS Server Role
 Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools

Promova o Servidor para um Controlador de Domínio com DNS Integrado executando estes comandos PowerShell:
```
powershell code
# Set the required parameters
$DomainName = "POCDOMAIN.LOCAL"
$SafeModePassword = ConvertTo-SecureString -AsPlainText "MySecureDSRMpwd2023!" -Force

# Configure and promote the server as a domain controller with integrated DNS
Install-ADDSForest -DomainName $DomainName -SafeModeAdministratorPassword  $SafeModePassword -DomainMode Win2019 -ForestMode Win2019 -InstallDNS
```
Valores de exemplo:
- Nome de domínio: POCDOMAIN.LOCAL
- Senha do DSRM: MySecureDSRMpwd2023!
Ao executar os comandos do PowerShell, as funções do Active Directory Domain Services e DNS Server são instaladas e configuradas no servidor.

O servidor é reiniciado automaticamente para concluir o processo de promoção do controlador de domínio
Depois que o servidor for reiniciado, efetue login usando a conta do administrador de domínio que você criou durante o processo de promoção para verificar o Active Directory e a Configuração de DNS

Verifique Active Directory e Configuração de DNS

Verifique se o Active Directory e o DNS estão configurados corretamente verificando:

Verifique o Active Directory Management

Abra "Gerenciador do Servidor" e, no "Painel", confirme "Active Directory Usuários e Computadores" e "DNS" estão listados em "Ferramentas", indicando uma instalação bem-sucedida das ferramentas de gerenciamento do Active Directory e do DNS.
Inicie o Active Directory Usuários e Computadores para gerenciar contas do usuário, grupos e unidades organizacionais (OUs) dentro do domínio.
Acesse DNS Manage r para gerenciar zonas e registros de DNS para o domínio.
Em uma máquina cliente dentro da mesma rede, defina as configurações de DNS para apontar para o endereço IP do controlador do domínio recém-promovido
Tente associar a máquina cliente ao "POCDOMAIN.LOCAL". Uma conexão bem-sucedida confirma a resolução de DNS e os serviços de domínio funcionais do Active Directory.

Etapa 2-Criando um grupo de usuários e usuários no Active Directory para usuários que acessam o cluster Symphony

Crie um grupo de usuários denominado "Symphony-group" e um usuário denominado "Symphonyuser01" no domínio do Active Directory "pocdomain.local" usando a ferramenta de gerenciamento Active Directory Users and Computers (ADUC) em um Windows Server:

Criar grupos de usuários e usuários no domínio "pocdomain.local" Active Directory requer privilégios administrativos dentro desse domínio. Assegure-se de ter as permissões necessárias para criar grupos e usuários. Além disso, sempre configure senhas fortes e siga as melhores práticas de segurança ao criar contas e grupos de usuários no Active Directory para manter um ambiente de rede seguro..

Abra Active Directory Users and Computers:

a. Efetue login no Windows Server com privilégios administrativos..

b. Clique em Iniciar e procure "Usuários e Computadores doActive Directory."

c. Inicie o console de gerenciamento " Usuários e Computadores doActive Directory.
Crie um grupo de usuários Symphony-group:

a. No console do ADUC, navegue para a Unidade organizacional (OU) dentro do domínio "pocdomain.local" no qual você deseja criar o grupo de usuários.

b. Clique com o botão direito na OU e selecione Novo e, em seguida, Grupo.

c. Na caixa de diálogo Novo Grupo de Objetos, insira Symphony-group como o nome do Grupo.

d. Escolha o escopo do Grupo (por exemplo, Global) e o tipo do Grupo (por exemplo, Segurança)

e. Clique em OK para criar o grupo de usuários Symphony-group.
Crie um usuário Symphonyuser01:

a. No console do ADUC, navegue para a mesma ou uma Unidade Organizacional (OU) diferente dentro do domínio "pocdomain.local" no qual você deseja criar o usuário "Symphonyuser01."

b. Clique com o botão direito na OU e selecione Novo e, em seguida, Usuário.

c. Na caixa de diálogo Novo Objeto-Usuário, insira as informações necessárias para o novo usuário *symphonyuser01:
- Nome completo: Insira o nome completo do usuário (por exemplo, Usuário 01 do LSF)
- Nome de logon do usuário: Insira o nome de logon do usuário (por exemplo Symphonyser01).
- User Principal Name (UPN): O UPN é gerado automaticamente com base no nome de logon do usuário e no nome de domínio (por exemplo, Symphonyuser01@pocdomain.local).
- Senha: configure uma senha segura para a conta do usuário e escolha se o usuário deve alterar a senha no primeiro logon..
- O usuário não pode alterar a senha: marque esta opção se desejar evitar que o usuário altere sua senha.
- A senha nunca expira: marque esta opção se desejar que a senha do usuário nunca expire.
- A conta está desativada: por padrão, a conta está ativada.. Se você desejar criar a conta do usuário em um estado desativado, desmarque essa opção
d. Clique em Avançar para continuar com quaisquer etapas adicionais do assistente.

e. Revise as informações inseridas e clique em Concluir para criar o novo usuário "Symphonyuser01."
Inclua "Symphonyuser01" no Grupo de Usuários "Symphony-group":

a. No console ADUC, localize o grupo de usuários Symphony-group que você criou anteriormente.

b. Clique com o botão direito no grupo de usuários Symphony-group e selecione Propriedades. c. Na caixa de diálogo Propriedades, acesse a guia Membros.

d. Clique em Incluir e, em seguida, insira Symphonyuser01 no campo Inserir os nomes do objeto para selecionar.

e. Clique em Verificar nomes para validar o nome do usuário..

f. Clique em OK para incluir "Symphonyuser01" no grupo de usuários "Symphony-group".

g. Clique em Aplicar e, em seguida, em OK para salvar as alterações

Etapa 3-Integrando o Symphony Cluster em execução no RHEL 8.4 com base em Sistemas Diretamente para AD usando o Samba Winbind

Visão geral da integração direta usando o Winbind do Samba

Para conectar um sistema RHEL ao Active Directory (AD), dois componentes são necessários: Samba Winbind e realmd. O Samba Winbind interage com a origem de identidade e autenticação do AD, enquanto o realmd detecta domínios disponíveis e configura os serviços do sistema RHEL subjacentes.

Plataformas Windows e sistemas operacionais suportados para integração direta

A integração direta com as florestas do AD é compatível com os seguintes níveis funcionais de floresta e domínio:

Intervalo de nível funcional da floresta: Windows Server 2008-Windows Server 2016
Intervalo de nível funcional de domínio: Windows Server 2008-Windows Server 2016

Os sistemas operacionais suportados para integração direta incluem:

Windows Server 2022 (RHEL 8.7 e superior)
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2

Windows Server 2019 e Windows Server 2022 não introduzem novos níveis funcionais e usam o nível funcional mais alto do Windows Server 2016.

Assegurando o suporte para tipos de criptografia comuns no AD e no RHEL

Samba Winbind suporta os tipos de criptografia RC4, AES-128e AES-256 Kerberos por padrão. No entanto, a criptografia RC4 é descontinuada e desativada por padrão devido a considerações de segurança.. As credenciais e as confiança do usuário do AD ainda podem depender da criptografia RC4, levando a problemas de autenticação.

Para assegurar a compatibilidade, você tem duas opções:

Ative o suporte de criptografia AES no Active Directory..
Ative o suporte do RC4 no RHEL

Para ativar o suporte RC4 no RHEL, as etapas diferem dependendo da versão do RHEL. Recomenda-se consultar a documentação oficial para instruções detalhadas.

Associando o cluster Symphony com o nó do cluster Symphony

Samba Winbind é uma alternativa para o System Security Services Daemon (SSSD) para conectar um sistema Red Hat Enterprise Linux (RHEL) com Active Directory (AD). Esta seção descreve como associar um sistema RHEL a um domínio do AD usando o realmd para configurar o Samba Winbind

Associe um nó do Cluster Symphony que está hospedado no RHEL 8.4 OS a um domínio do AD usando Samba Winbind e realmd:

Instale e atualize os seguintes pacotes:

# yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients \
samba-winbind samba-common-tools samba-winbind-krb5-locator

#yum update

Atualizando o /etc/hosts com a inclusão de IP e nome do domínio AD. Por exemplo:

[root@amit-rhel84 ~]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
10.243.0.41 addc1.POCDomain.local

addc1.POCDomain.local é o nome do FQDN do servidor AD

Atualize as entradas DNS no arquivo /etc/resolv.conf usando:
```
sudo nmcli connection modify "System eth0" ipv4.dns "10.243.0.41" ipv4.ignore-auto-dns yes
```
Esse comando não apenas atualiza as entradas DNS no arquivo /etc/resolv.conf, mas também assegura que as entradas DNS não sejam atualizadas automaticamente para servidores DNS baseados em nuvem.

Confirme as mudanças no arquivo DNS:

[root@amit-rhel84 ~]# cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 10.243.0.41
[root@amit-rhel84 ~]#

Além da confirmação, execute ping no Controlador de Domínio com Nome:-Ping POCDOMAIN.LOCAL:

[root@amit-rhel84 ~]# ping POCDOMAIN.LOCAL
PING POCDOMAIN.LOCAL (10.243.0.41) 56(84) bytes of data.
64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=1 ttl=128 time=0.365 ms
64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=2 ttl=128 time=0.722 ms
64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=3 ttl=128 time=0.581 ms
64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=4 ttl=128 time=0.525 ms

Use nslookup para assegurar que o domínio do AD possa ser resolvido:

[root@amit-rhel84 ~]#  nslookup pocdomain.local
Server:         10.243.0.41
Address:        10.243.0.41#53

Name:   pocdomain.local
Address: 10.243.0.41

Se o seu Active Directory requerer o tipo de criptografia RC4 descontinuado para a autenticação Kerberos, ative o suporte para essas cifras no RHEL:

# update-crypto-policies --set DEFAULT:AD-SUPPORT

Depois de executar esse comando, ele atualiza as políticas de criptografia e solicita a reinicialização da máquina.
Faça backup do arquivo de configuração /etc/samba/smb.conf Samba existente:

# mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
Associe o host RHEL 8.x ao domínio do Active Directory. Conforme mencionado no exemplo, para associar um domínio denominado POCDOMAIN.LOCAL:

# realm join --membership-software=samba --client-software=winbind POCDOMAIN.LOCAL

Ao usar esse comando, o utilitário de região automaticamente:
- Cria um arquivo /etc/samba/smb.conf para uma associação no domínio pocdomain.local
- Inclui o módulo winbind para consultas de usuário e de grupo no arquivo /etc/nsswitch.conf
- Atualiza os arquivos de configuração do Pluggable Authentication Module (PAM) no diretório /etc/pam.d/.
- Inicia o serviço winbind e permite que o serviço seja iniciado quando o sistema é inicializado
(Opcional) Configure um backend de mapeamento de ID alternativo ou configurações de mapeamento de ID customizado no arquivo /etc/samba/smb.conf. Para obter mais informações, consulte Entendendo e configurando o mapeamento de ID do Samba.
Edite o arquivo /etc/krb5.conf e inclua esta sessão:

[plugins]
localauth = {
module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
enable_only = winbind
}

Verifique se o serviço winbind está em execução. Por exemplo:

#systemctl status winbind
[root@amit-rhel84 ~]# systemctl status winbind
winbind.service - Samba Winbind Daemon
Loaded: loaded (/usr/lib/systemd/system/winbind.service; enabled; vendor preset: disabled)
Active: active (running) since Wed 2023-08-09 08:16:16 EDT; 1h 42min ago
Docs: man:winbindd(8)
  man:samba(7)
  man:smb.conf(5)
Main PID: 4889 (winbindd)
Status: "winbindd: ready to serve connections..."
Tasks: 5 (limit: 49264)
Memory: 10.9M
CGroup: /system.slice/winbind.service
       ├─4889 /usr/sbin/winbindd --foreground --no-process-group
       ├─4893 /usr/sbin/winbindd --foreground --no-process-group
       ├─4894 /usr/sbin/winbindd --foreground --no-process-group
       ├─4924 /usr/sbin/winbindd --foreground --no-process-group
       └─5997 /usr/sbin/winbindd --foreground --no-process-group

Para ativar o Samba para consultar informações de usuário e grupo do domínio, o serviço winbind deve estar em execução antes de iniciar o smb.

Se você instalou o pacote samba para compartilhar diretórios e impressoras, ative e inicie o serviço smb:

# systemctl enable --now smb

Etapas de verificação.

Exibir detalhes dos usuários do AD, como a conta do administrador do AD no domínio do AD. Por exemplo:

# getent passwd " POCDOMAIN\administrator"
POCDOMAIN\administrator:*:2000500:2000513::/home/administrator@POCDOMAIN:/bin/bash

Consulte os membros do grupo de usuários do domínio no domínio AD:

# getent group " POCDOMAIN\Domain Users"
POCDOMAIN\domain users:x:2000513:

(Opcional) Verifique se é possível usar usuários e grupos de domínio ao configurar permissões em arquivos e diretórios. Por exemplo, para configurar o proprietário do arquivo /srv/samba/example.txt para AD\administrator e o grupo para AD\Domain Users:
```
# sudo chown "POCDOMAIN\administrator":"POCDOMAIN\Domain Users" example.txt
```
Verifique se a autenticação Kerberos funciona conforme esperado. No membro de domínio do AD, obtenha um chamado para o administrador do administrator@POCDOMAIN.LOCAL principal:
```
# kinit administrator@POCDOMAIN.LOCAL
```

Exiba o chamado Kerberos em cache:

# klist
Ticket cache: KCM:0
Default principal: Administrator@POCDOMAIN.LOCAL

Valid starting       Expires              Service principal
12/11/2023 08:26:47  12/11/2023 18:26:47  krbtgt/POCDOMAIN.LOCAL@POCDOMAIN.LOCAL
	renew until 12/18/2023 08:26:23

Exibir os domínios disponíveis:

#realm list
pocdomain.local
  type: kerberos
  realm-name: POCDOMAIN.LOCAL
  domain-name: pocdomain.local
  configured: kerberos-member
  server-software: active-directory
  client-software: winbind
  required-package: oddjob-mkhomedir
  required-package: oddjob
  required-package: samba-winbind-clients
  required-package: samba-winbind
  required-package: samba-common-tools
  login-formats: POCDOMAIN\%U
  login-policy: allow-any-login
#wbinfo --all-domains
BUILTIN
AD-CLIENT
POCDOMAIN

Recursos adicionais-Se não desejar usar as cifras RC4 descontinuadas, será possível ativar o tipo de criptografia AES no AD.

Para fornecer permissões de usuário raiz para usuários do Active Directory (AD)

Para fornecer permissões de usuário raiz para usuários do AD do "POCDOMAIN.LOCAL" em uma máquina Linux:

Abra um terminal ou conecte-se à máquina do Linux
Edite o arquivo sudoers usando o comando visudo: sudo visudo
Localize a seção no arquivo sudoers que configura privilégios de usuário:

# Allow root to run any commands anywhere root ALL=(ALL) ALL
Inclua a linha a seguir abaixo da entrada do usuário raiz para permitir que os usuários do AD no grupo "POCDOMAIN\Domain Administrators" executem comandos com privilégios de administrador: %POCDOMAIN\\Domain\ Administrators ALL=(ALL) ALL

Esta linha concede privilégios de usuário raiz a todos os usuários do AD no grupo "POCDOMAIN\Usuários do Domínio" As barras duplas invertidas ("") são usados para escapar caracteres especiais.
Salve as mudanças no arquivo sudoers e saia do editor.. Os usuários do AD que são membros do grupo "POCDOMAIN\Domain Users" agora podem executar comandos com privilégios de administrador usando o comando sudo. Por exemplo: sudo command_to_execute_as_root

Quando solicitado, o usuário AD deve inserir sua própria senha para autenticar e executar o comando com os privilégios elevados.

Tenha cuidado ao conceder permissões de usuário raiz a usuários do AD. É importante conceder esses privilégios apenas para indivíduos confiáveis que os requerem para tarefas específicas.. Revisar regularmente os privilégios do usuário e seguir as melhores práticas de segurança ajuda a manter um ambiente do sistema seguro

Etapa 4-Configurando a configuração no lado do cluster Symphony

A seguir estão as etapas para configurar a Kerberos em Linux para IBM Spectrum Symphony integração com Active Directory:

Encerrar o Cluster

Efetue login em qualquer host de gerenciamento no cluster usando as credenciais do administrador do cluster.
```
#Example
egosh user logon –u Admin –x Admin
```
Execute os comandos a seguir para encerrar o cluster normalmente:
```
#Example
soamcontrol app disable all
egosh service stop all
egosh ego shutdown all
```
Modificar Configuração de Segurança em Hosts de Gerenciamento: Em cada host de gerenciamento, edite o arquivo $EGO_CONFDIR/ego.conf.

Configure EGO_SEC_PLUGIN como "sec_ego_gsskrb."
```
#Example
EGO_SEC_PLUGIN=sec_ego_gsskrb
```
Configure EGO_SEC_CONF para especificar a configuração do plug-in:
```
#Example
EGO_SEC_CONF="/EGOShare/kernel/conf,600,ERROR,/opt/EGO/kernel/log"
```
Configure EGO_SEC_KRB_SERVICENAME para o proprietário Kerberos para o servidor de autenticação:
```
#Example
EGO_SEC_KRB_SERVICENAME=symphonyuser03
```
Crie ou modifique o arquivo $EGO_CONFDIR/sec_ego_gsskrb.conf com os parâmetros fornecidos:
```
#Example
REALM=POCDomain.local
KRB5_KTNAME=/etc/krb5.keytab
KERBEROS_ADMIN=egoadmin
```
KRB5_KTNAME=/etc/krb5.keytab O parâmetro KRB5_KTNAME designa o caminho absoluto para o arquivo keytab. Esse arquivo contém chaves para o proprietário de serviço usado na autenticação do Kerberos Aqui, o caminho é configurado como "/etc/krb5.keytab," assegurando que as chaves necessárias sejam recuperadas para autenticação..

KERBEROS_ADMIN=egoadmin O parâmetro KERBEROS_ADMIN especifica o proprietário Kerberos que é mapeado para o nome do usuário do administrador de cluster integrado (Admin). Nessa configuração, ele é definido como "hpcegoadmin" Essa entidade é importante para tarefas administrativas no cluster IBM Spectrum Symphony e é usada para autenticação como administrador do cluster.
Aplique a configuração aos hosts de computador e cliente.

Repita as etapas de modificação em hosts de cálculo e cliente, ajustando configurações em seus respectivos arquivos $EGO_CONFDIR/ego.conf e $EGO_CONFDIR/sec_ego_gsskrb.conf.
Inicie o Cluster e ative os Aplicativos

Quando as configurações forem aplicadas nos hosts, inicie o cluster e ative os aplicativos usando os comandos a seguir:
```
#Example
egosh ego start
soamcontrol app enable appName
```
Efetue logon no Host de Gerenciamento de Cluster

A partir de um host de gerenciamento na região POCDomain.local, efetue login como o usuário Administrativo usando a linha de comandos egosh Insira a senha do proprietário do Kerberos definido no parâmetro KERBEROS_ADMIN
```
#Example
egosh user logon –u Admin –x passwordegoadmin
```
Incluir usuários do AD (se necessário)

Se o parâmetro ENABLE_AD_USERS_MANAGE no arquivo $EGO_CONFDIR/sec_ego_gsskrb.conf nos hosts de gerenciamento Linux tiver sido definido como 'N', use o comando egosh user add para adicionar usuários do AD a IBM Spectrum Symphony. Forneça qualquer sequência aleatória como a senha; ela não será usada para o logon do usuário
```
#Example egosh user add –u ad1tester –x 111
```
Designar funções a usuários

Designe funções às contas do usuário usando o comando egosh user assignrole. Por exemplo, para designar a função de administrador do consumidor para ad1tester e ad2tester:
```
#Example
egosh user assignrole –u ad1tester –r CONSUMER_ADMIN –p /SymTesting/Symping73.2
```
Efetuar login como um usuário AD

Efetue login como um usuário AD usando a linha de comando egosh. Por exemplo, para efetuar login como ad1tester:
```
#Example
egosh user logon –u ad1tester –x passwordad1tester
```

Conclusão

Este guia serve como um recurso vital para administradores de sistemas que buscam integrar perfeitamente o IBM Spectrum Symphony com o Active Directory no ambiente IBM Cloud. Abordando pré-requisitos e fornecendo instruções passo a passo, ele garante a prontidão para sistemas Active Directory e RHEL implantados em IBM Virtual Servers. Desde a instalação do Active Directory no Windows Server 2019 até a configuração da autenticação Kerberos, o guia fornece aos administradores uma referência confiável para obter gerenciamento eficiente de usuários e controle de acesso para IBM Spectrum Symphony dentro da infraestrutura do IBM Cloud.