使用 Windows Active Directory 啟用 User Management for IBM Spectrum Symphony
簡介
您可以配置IBM Spectrum Symphony使用Active Directory(AD) 伺服器作為使用者驗證的主目錄服務。 該文件概述了安裝和配置的逐步過程Active Directory和 Windows Server 2019 上的 DNS 伺服器使用PowerShell。 此外,它還涵蓋了連接 RHEL 的過程8.4基於作業系統的 Symphony Cluster 節點透過使用直接連接到 ADSambaWinbind,以確保加密相容性,並將其加入到Active Directory領域。
本文檔的目的是使系統管理員能夠無縫地配置IBM Spectrum Symphony和Active Directory用於用戶身份驗證,從而實現高效的用戶管理和存取控制。
一般必要條件
在繼續進行配置程序之前,請確定符合必要條件:
- 安裝及配置 Active Directory 和 DNS 伺服器:
- 具有管理專用權的 Windows Server 2019 機器。
- 基本熟悉 PowerShell 指令和 Windows Server 管理。
- 若要使用 Samba Winbind 將 RHEL 系統直接連接至 AD:
- 能夠執行 Samba Winbind 的 RHEL 系統。
- 熟悉 RHEL 指令行介面和系統配置。
- Active Directory 網域的存取權,以及結合網域的適當許可權。
網路必備項目
在繼續配置 IBM Storage Scale 以使用 Active Directory 並將 RHEL 系統連接至 AD 之前,請確保符合下列網路必要條件:
-
網路連線功能: 在 Windows Server 2019 機器 (其中已安裝 Active Directory 及 DNS) 與加入網域的 RHEL 系統之間,您需要穩定且可靠的網路連線功能。 請驗證未設定任何網路通訊問題或防火牆來封鎖基本埠。
-
防火牆規則: 檢閱並更新防火牆規則,以容許 Windows Server 2019 機器、RHEL 系統及網域控制站之間進行必要的通訊。 用於 AD 通訊的金鑰埠包括 TCP/UDP 53 (DNS)、TCP/UDP 88 (Kerberos)、TCP 135 (RPC)、TCP/UDP 389 (LDAP)、TCP/UDP 445 (SMB) 及 TCP/UDP 636 (LDAPS)。
-
網域控制站可聯繫性: 確認 RHEL 系統可以呼叫到 Active Directory 網域控制站,而不會有任何連線功能問題。 使用 "ping" 或 "nslookup" 之類的工具來驗證是否能夠從 RHEL 系統解析網域控制站的主機名稱及 IP 位址。
-
時間同步化: 確定參與 Active Directory 網域的所有系統 (包括 Windows Server 2019 機器和 RHEL 系統),其時鐘都與可靠的時間來源同步。 時間同步化對於適當鑑別及 Kerberos 通行證驗證非常重要。
-
網域 DNS 配置: Active Directory 網域必須已適當地配置 DNS 設定。 在屬於 AD 網域的所有系統 (包括 Windows Server 2019 機器及 RHEL 系統) 上,網域控制站的 IP 位址必須設為主要 DNS 伺服器。
-
DNS 解析: 驗證正向和反向 DNS 解析都正確運作。 網域控制站的主機名稱必須可從 Windows Server 2019 機器及 RHEL 系統解析,而 Windows Server 2019 機器的主機名稱必須可從 RHEL 系統解析。
-
DNS 網域名稱 確保 Active Directory 的 DNS 網域名稱符合在配置處理程序期間使用的網域名稱。 在此情況下,用於 Active Directory 的網域名稱 "POCDOMAIN.LOCAL" 在整個配置中必須一致。
-
Active Directory 具有管理專用權的使用者帳戶: 確定在配置處理程序期間,可以使用具有管理專用權的 Active Directory 使用者帳戶。 此帳戶用於將 Windows Server 2019 機器升級為網域控制站,並將 RHEL 系統結合至 AD 網域。
Windows Server 和 Powershell
對於此程序,您需要:
- 具有管理專用權的 Windows Server 2019 機器。
- 基本熟悉 PowerShell 指令和 Windows Server 管理。
步驟 1-使用 PowerShell 在 Windows Server 2019 上安裝及配置 Active Directory 和 DNS 伺服器
-
使用管理專用權開啟 PowerShell:
a. 按鍵盤上的 "Windows + X" 鍵以存取「專業使用者」功能表。
b. 從清單中,選擇「Windows PowerShell (管理)」,以使用管理專用權來啟動已提升的 PowerShell 階段作業。
-
執行下列 PowerShell 指令,以安裝 Active Directory 網域服務角色及 DNS 伺服器角色:
powershell code # Install the Active Directory Domain Services Role and DNS Server Role Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools -
透過執行下列 PowerShell 指令,將「伺服器」升級至具有「整合式 DNS」的「網域控制站」:
powershell code # Set the required parameters $DomainName = "POCDOMAIN.LOCAL" $SafeModePassword = ConvertTo-SecureString -AsPlainText "MySecureDSRMpwd2023!" -Force # Configure and promote the server as a domain controller with integrated DNS Install-ADDSForest -DomainName $DomainName -SafeModeAdministratorPassword $SafeModePassword -DomainMode Win2019 -ForestMode Win2019 -InstallDNS範例值:
- 網域名稱: POCDOMAIN.LOCAL
- DSRM 密碼: MySecureDSRMpwd2023!
當您執行 PowerShell 指令時,會在伺服器上安裝並配置 Active Directory 網域服務及 DNS 伺服器角色。
伺服器會自動重新啟動,以完成網域控制站升級程序。
-
在伺服器重新啟動之後,請使用您在升級處理程序期間建立的網域管理者帳戶登入,以驗證 Active Directory 及 DNS 配置。
驗證 Active Directory 及 DNS 配置
透過檢查下列項目,驗證 Active Directory 及 DNS 是否配置正確:
-
驗證 Active Directory 管理
開啟「伺服器管理程式」,並在「儀表板」中,確認「Active Directory 使用者和電腦」及「DNS」列在「工具」下,指出順利安裝 Active Directory 及 DNS 管理工具。
-
啟動 Active Directory 使用者和電腦,以管理網域內的使用者帳戶、群組及組織單位 (OU)。
-
存取 DNS Manage,以管理網域的 DNS 區域及記錄。
-
在相同網路內的用戶端機器上,配置 DNS 設定以指向新升級網域控制站的 IP 位址。
-
嘗試將用戶端機器結合至 "POCDOMAIN.LOCAL" 網域。 成功連線會確認適當的 DNS 解析及正常運作的 Active Directory 網域服務。
步驟 2-在 Active Directory 中為存取 Symphony 叢集的使用者建立使用者群組及使用者
使用 Windows Server 上的 Active Directory 使用者和電腦 (ADUC) 管理工具,在 Active Directory 網域 "pocdomain.local" 中建立名為 "Symphony-group" 的使用者群組,以及名為 "Symphonyuser01" 的使用者:
在 "pocdomain.local" Active Directory 網域中建立使用者群組及使用者,需要該網域內的管理專用權。 請確定您具有建立群組和使用者的必要許可權。 此外,當您在 Active Directory 中建立使用者帳戶和群組時,請一律設定高保護性密碼並遵循安全最佳作法,以維護安全網路環境。
-
打開Active Directory使用者和電腦:
a. 以管理專用權登入 Windows Server。
b. 按一下 開始,然後搜尋「Active Directory 使用者和電腦」。
c. 啟動「Active Directory 使用者和電腦」管理主控台。
-
建立使用者群組交響樂團:
a. 在 ADUC 主控台中,導覽至您要在其中建立使用者群組的 "pocdomain.local" 網域內的組織單位 (OU)。
b. 用滑鼠右鍵按一下組織單位,然後選取 新建,然後選取 群組。
c. 在 新建物件-群組 對話框中,輸入 Symphony-group 作為群組名稱。
d. 選擇群組範圍 (例如,廣域) 和群組類型 (例如,安全)。
e. 點選好的來創建交響樂團用戶群組。
-
創建用戶交響樂user01:
a. 在 ADUC 主控台中,導覽至您要建立使用者 "Symphonyuser01" 之 "pocdomain.local" 網域內的相同或不同的組織單位 (OU)。
b. 用滑鼠右鍵按一下組織單位,然後選取 新建,然後選取 使用者。
c. 在 新建物件-使用者 對話框中,輸入新使用者 **symphonyuser01*的必要資訊:
-
完整名稱: 輸入使用者的完整名稱 (例如,LSF User 01)。
-
使用者登入名稱: 輸入使用者的登入名稱 (例如,Symphonyser01)。
-
使用者主體名稱 (UPN): 會根據使用者登入名稱和網域名稱 (例如,Symphonyuser01@pocdomain.local) 自動產生 UPN。
-
密碼: 設定使用者帳戶的安全密碼,並選擇使用者是否必須在第一次登入時變更密碼。
-
使用者無法變更密碼: 如果您要防止使用者變更其密碼,請勾選此選項。
-
密碼永不到期: 如果您想要使用者密碼永不到期,請勾選此選項。
-
帳戶已停用: 依預設,會啟用帳戶。 如果您要建立處於已停用狀態的使用者帳戶,請清除此選項。
d. 按 下一步 以繼續執行任何其他精靈步驟。
e. 檢閱輸入的資訊,然後按一下 完成 以建立新的使用者 "Symphonyuser01"。
-
-
將 "Symphonyuser01" 新增至 "Symphony-group" 使用者群組:
a. 在 ADUC 主控台中,找出您先前建立的 Symphony-group 使用者群組。
b. 用滑鼠右鍵按一下 Symphony-group 使用者群組,然後選取 內容。 c. 在「內容」對話框中,移至 成員 標籤。
d. 按一下 新增,然後在 輸入要選取的物件名稱 欄位中輸入 Symphonyuser01。
e. 按一下 檢查名稱 以驗證使用者名稱。
f. 按一下 確定,將 "Symphonyuser01" 新增至 "Symphony-group" 使用者群組。
如: 按一下 套用,然後按一下 確定 以儲存變更。
步驟 3-使用 Samba Winbind 將在 RHEL 8.4 型系統上執行的 Symphony 叢集直接整合至 AD
使用 Samba Winbind 進行直接整合的概觀
若要將 RHEL 系統連接至 Active Directory (AD),需要兩個元件: Samba Winbind 及 realmd。 Samba Winbind 會與 AD 身分及鑑別來源互動,而 realmd 會偵測可用的網域並配置基礎 RHEL 系統服務。
直接整合支援的 Windows 平台及作業系統
與 AD 樹系直接整合與下列樹系及網域功能層次相容:
- 樹系功能層次範圍 :Windows Server 2008-Windows Server 2016
- 網域功能層次範圍 :Windows Server 2008-Windows Server 2016
直接整合的受支援作業系統包括:
- Windows Server 2022 (RHEL 8.7 及更高版本)
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
Windows Server 2019 和 Windows Server 2022 不引進新的功能層次,並使用 Windows Server 2016 的最高功能層次。
確保支援 AD 和 RHEL 中的一般加密類型
依預設,Samba Winbind 支援 RC4、AES-128及 AES-256 Kerberos 加密類型。 不過,基於安全考量,依預設會淘汰並停用 RC4 加密。 AD 使用者認證及信任仍然可以依賴 RC4 加密,導致鑑別問題。
為了確保相容性,您有兩個選項:
- 在 Active Directory中啟用 AES 加密支援。
- 在 RHEL 中啟用 RC4 支援。
若要在 RHEL 中啟用 RC4 支援,步驟會根據 RHEL 版本而有所不同。 建議參閱正式文件,以取得詳細指示。
結合 Symphony 叢集與 Symphony 叢集節點
Samba Winbind 是 System Security Services Daemon (SSSD) 的替代方案,用來連接 Red Hat Enterprise Linux (RHEL) 系統與 Active Directory (AD)。 本節說明如何使用 realmd 來配置 Samba Winbind,以將 RHEL 系統結合至 AD 網域。
使用 Samba Winbind 及 realmd,將在 RHEL 8.4 OS 上管理的 Symphony Cluster 節點加入 AD 網域:
-
安裝並更新下列套件:
# yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients \ samba-winbind samba-common-tools samba-winbind-krb5-locator #yum update -
使用新增 AD 網域 IP 及名稱來更新 /etc/hosts。 例如:
[root@amit-rhel84 ~]# cat /etc/hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 10.243.0.41 addc1.POCDomain.localaddc1.POCDomain.local 是 AD 伺服器 FQDN 名稱
-
使用下列指令來更新
/etc/resolv.conf檔案中的 DNS 項目:sudo nmcli connection modify "System eth0" ipv4.dns "10.243.0.41" ipv4.ignore-auto-dns yes此指令不僅會更新
/etc/resolv.conf檔案中的 DNS 項目,還會確保 DNS 項目不會自動更新至雲端型 DNS 伺服器 -
確認 DNS 檔案中的變更:
[root@amit-rhel84 ~]# cat /etc/resolv.conf # Generated by NetworkManager nameserver 10.243.0.41 [root@amit-rhel84 ~]#除了確認之外,請使用下列名稱對網域控制站進行連線測試:-連線測試 POCDOMAIN.LOCAL Shell:
[root@amit-rhel84 ~]# ping POCDOMAIN.LOCAL PING POCDOMAIN.LOCAL (10.243.0.41) 56(84) bytes of data. 64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=1 ttl=128 time=0.365 ms 64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=2 ttl=128 time=0.722 ms 64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=3 ttl=128 time=0.581 ms 64 bytes from addc1.POCDomain.local (10.243.0.41): icmp_seq=4 ttl=128 time=0.525 ms -
使用
nslookup來確保 AD 網域可解析:[root@amit-rhel84 ~]# nslookup pocdomain.local Server: 10.243.0.41 Address: 10.243.0.41#53 Name: pocdomain.local Address: 10.243.0.41 -
如果 Active Directory 需要已淘汰的 RC4 加密類型以進行 Kerberos 鑑別,請在 RHEL 中啟用這些密碼的支援:
# update-crypto-policies --set DEFAULT:AD-SUPPORT執行此指令之後,它會更新加密原則,並要求將機器重新開機。
-
備份現有的 /etc/samba/smb.conf Samba 配置檔:
# mv /etc/samba/smb.conf /etc/samba/smb.conf.bak -
將 RHEL 8.x 主機加入 Active Directory 網域。 如範例中所述,結合名為 POCDOMAIN.LOCAL:
# realm join --membership-software=samba --client-software=winbind POCDOMAIN.LOCAL當您使用這個指令時,網域範圍公用程式會自動:
- 為 pocdomain.local 網域中的成員資格建立 /etc/samba/smb.conf 檔案。
- 將使用者和群組查閱的 winbind 模組新增至 /etc/nsswitch.conf 檔案。
- 更新 /etc/pam.d/ 目錄中的外掛鑑別模組 (PAM) 配置檔。
- 啟動 winbind 服務,並在系統開機時啟動服務。
-
(選用) 在 /etc/samba/smb.conf 檔案中設定替代 ID 對映後端或自訂 ID 對映設定。 如需相關資訊,請參閱 瞭解並配置 Samba ID 對映。
-
編輯
/etc/krb5.conf檔案並新增此區段:
[plugins]
localauth = {
module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
enable_only = winbind
}
- 驗證 winbind 服務是否正在執行。 例如:
#systemctl status winbind
[root@amit-rhel84 ~]# systemctl status winbind
winbind.service - Samba Winbind Daemon
Loaded: loaded (/usr/lib/systemd/system/winbind.service; enabled; vendor preset: disabled)
Active: active (running) since Wed 2023-08-09 08:16:16 EDT; 1h 42min ago
Docs: man:winbindd(8)
man:samba(7)
man:smb.conf(5)
Main PID: 4889 (winbindd)
Status: "winbindd: ready to serve connections..."
Tasks: 5 (limit: 49264)
Memory: 10.9M
CGroup: /system.slice/winbind.service
├─4889 /usr/sbin/winbindd --foreground --no-process-group
├─4893 /usr/sbin/winbindd --foreground --no-process-group
├─4894 /usr/sbin/winbindd --foreground --no-process-group
├─4924 /usr/sbin/winbindd --foreground --no-process-group
└─5997 /usr/sbin/winbindd --foreground --no-process-group
若要讓 Samba 查詢網域使用者和群組資訊,winbind 服務必須在您啟動 smb 之前執行。
如果您已安裝 samba 套件來共用目錄及印表機,請啟用並啟動 smb 服務:
# systemctl enable --now smb
驗證步驟
-
顯示 AD 使用者詳細資料,例如 AD 網域中的 AD 管理者帳戶。 例如:
# getent passwd " POCDOMAIN\administrator" POCDOMAIN\administrator:*:2000500:2000513::/home/administrator@POCDOMAIN:/bin/bash -
查詢 AD 網域中網域使用者群組的成員:
# getent group " POCDOMAIN\Domain Users" POCDOMAIN\domain users:x:2000513: -
(選用) 當您設定檔案和目錄的許可權時,請驗證您可以使用網域使用者和群組。 例如,若要將 /srv/samba/example.txt 檔案的擁有者設為 AD\administrator,並將群組設為 AD\Domain Users:
# sudo chown "POCDOMAIN\administrator":"POCDOMAIN\Domain Users" example.txt -
驗證 Kerberos 鑑別如預期般運作。 在 AD 網域成員上,取得 administrator@POCDOMAIN.LOCAL 主體:
# kinit administrator@POCDOMAIN.LOCAL -
顯示快取的 Kerberos 通行證:
# klist Ticket cache: KCM:0 Default principal: Administrator@POCDOMAIN.LOCAL Valid starting Expires Service principal 12/11/2023 08:26:47 12/11/2023 18:26:47 krbtgt/POCDOMAIN.LOCAL@POCDOMAIN.LOCAL renew until 12/18/2023 08:26:23 -
顯示可用的網域:
#realm list pocdomain.local type: kerberos realm-name: POCDOMAIN.LOCAL domain-name: pocdomain.local configured: kerberos-member server-software: active-directory client-software: winbind required-package: oddjob-mkhomedir required-package: oddjob required-package: samba-winbind-clients required-package: samba-winbind required-package: samba-common-tools login-formats: POCDOMAIN\%U login-policy: allow-any-login #wbinfo --all-domains BUILTIN AD-CLIENT POCDOMAIN
其他資源-如果您不想使用已淘汰的 RC4 密碼,則可以在 AD 中啟用 AES 加密類型。
提供 root 使用者許可權給 Active Directory (AD) 使用者
若要將 root 使用者許可權提供給 Linux 機器上 "POCDOMAIN.LOCAL" 網域的 AD 使用者,請執行下列動作:
-
開啟終端機或連接至 Linux 機器。
-
使用 visudo 指令編輯 sudoers 檔案:
sudo visudo -
在 sudoers 檔案中找出配置使用者專用權的區段:
# Allow root to run any commands anywhere root ALL=(ALL) ALL -
在 root 使用者項目下方新增下列行,以容許 "POCDOMAIN\Domain Administrators" 群組中的 AD 使用者使用 root 專用權執行指令:
%POCDOMAIN\\Domain\ Administrators ALL=(ALL) ALL此行將 root 使用者專用權授與 "POCDOMAIN\Domain Users" 群組中的所有 AD 使用者。 雙反斜線 ("") 用來跳出特殊字元。
-
儲存對 sudoers 檔案所做的變更,並結束編輯器。 作為 "POCDOMAIN\Domain Users" 群組成員的 AD 使用者現在可以使用 sudo 指令,以 root 專用權執行指令。 例如:
sudo command_to_execute_as_root當系統提示時,AD 使用者必須輸入自己的密碼來進行鑑別,並以較高的專用權執行指令。
當您將 root 使用者許可權授與 AD 使用者時,請小心。 請務必只將這些專用權授與需要它們執行特定作業的授信個人。 定期檢閱使用者專用權及遵循安全最佳作法,有助於維護安全系統環境。
步驟 4-在 Symphony 叢集端配置設定
以下是設定步驟Kerberos身份驗證開啟Linux主辦單位IBM Spectrum Symphony與集成Active Directory:
-
關閉叢集
使用叢集管理者認證登入叢集中的任何管理主機。
#Example egosh user logon –u Admin –x Admin執行下列指令以循序關閉叢集:
#Example soamcontrol app disable all egosh service stop all egosh ego shutdown all -
修改管理主機上的安全配置: 在每一個管理主機上,編輯
$EGO_CONFDIR/ego.conf檔案。將 EGO_SEC_PLUGIN 設為 "sec_ego_gsskrb"。
#Example EGO_SEC_PLUGIN=sec_ego_gsskrb設定 EGO_SEC_CONF 以指定外掛程式的配置:
#Example EGO_SEC_CONF="/EGOShare/kernel/conf,600,ERROR,/opt/EGO/kernel/log"將 EGO_SEC_KRB_SERVICENAME 設為鑑別伺服器的 Kerberos 主體:
#Example EGO_SEC_KRB_SERVICENAME=symphonyuser03使用提供的參數來建立或修改 $EGO_CONFDIR/sec_ego_gsskrb.conf 檔案:
#Example REALM=POCDomain.local KRB5_KTNAME=/etc/krb5.keytab KERBEROS_ADMIN=egoadminKRB5_KTNAME=/etc/krb5.keytab KRB5_KTNAME 參數會指定 keytab 檔的絕對路徑。 此檔案包含 Kerberos 鑑別中所使用服務主體的金鑰。 在這裡,路徑設為 "/etc/krb5.keytab",確保擷取必要的金鑰以進行鑑別。
KERBEROS_ADMIN=egoadmin KERBEROS_ADMIN 參數指定對映至內建叢集管理者 (管理者) 的使用者名稱的 Kerberos 主體。 在此配置中,它設為 "hpcegoadmin"。 此原則對於內部的行政任務非常重要IBM Spectrum Symphony cluster,用於驗證叢集管理員身分。
-
將配置套用至計算和用戶端主機。
在計算和用戶端主機上重複修改步驟,以調整其個別
$EGO_CONFDIR/ego.conf和$EGO_CONFDIR/sec_ego_gsskrb.conf檔案中的配置。 -
啟動叢集並啟用應用程式。
在主機之間套用配置之後,請使用下列指令啟動叢集並啟用應用程式:
#Example egosh ego start soamcontrol app enable appName -
登入叢集管理主機。
從 POCDomain.local 領域中的管理主機,使用 egoy 指令行以 Admin 使用者身分登入。 輸入在 KERBEROS_ADMIN 參數中定義的 Kerberos 主體的密碼。
#Example egosh user logon –u Admin –x passwordegoadmin -
新增 AD 使用者 (必要的話)
如果 ENABLE_AD_USERS_MANAGE 參數在
$EGO_CONFDIR/sec_ego_gsskrb.conf文件於Linux管理主機設定為“N”,使用 egosh user add 指令將 AD 使用者新增至IBM Spectrum Symphony。 提供任何隨機字串作為密碼; 它將不會用於使用者登入。#Example egosh user add –u ad1tester –x 111 -
指派角色給使用者
使用 egassignrole 指令,將角色指派給使用者帳戶。 例如,若要將消費者管理者角色指派給 ad1tester 和 ad2tester:
#Example egosh user assignrole –u ad1tester –r CONSUMER_ADMIN –p /SymTesting/Symping73.2 -
以 AD 使用者身分登入
以 AD 使用者身分使用eg中指令行登入。 例如,若要以 ad1tester: 身分登入:
#Example egosh user logon –u ad1tester –x passwordad1tester
總結
本指南是希望無縫整合的系統管理員的重要資源IBM Spectrum Symphony和Active Directory內IBM Cloud環境。 解決先決條件並提供逐步說明,確保為兩者做好準備Active Directory和 RHEL 系統部署在IBMVirtual Servers。 從安裝開始Active Directory在 Windows Server 2019 上配置Kerberos認證,為管理員實現高效率的使用者管理和存取控制提供可靠的參考IBM Spectrum Symphony內IBM Cloud基礎設施。