IBM Cloud Docs
Active Directory in IBM Spectrum LSF integrieren

Active Directory in IBM Spectrum LSF integrieren

Dieses Lernprogramm enthält detaillierte Schritte für Systemadministratoren zur Integration von IBM Spectrum LSF mit einem Active Directory als primären Verzeichnisservice für die Benutzerauthentifizierung. Die Integration von IBM Spectrum LSF und Active Directory ermöglicht eine effiziente Benutzerverwaltung und Zugriffssteuerung.

In diesem Lernprogramm lernen Sie Folgendes:

  • Active Directory und DNS-Server unter Windows Server 2019 mithilfe von PowerShell installieren und konfigurieren
  • Verbinden Sie einen betriebssystembasierten LSF-Clusterknoten von RHEL 8.4 mithilfe von Samba Winbind direkt mit Active Directory, stellen Sie Verschlüsselungskompatibilität sicher und verknüpfen Sie den Clusterknoten mit einer Active Directory-Domäne.

Vorbereitende Schritte

Bevor Sie beginnen, müssen Sie die folgenden Voraussetzungen überprüfen:

Allgemeine Voraussetzungen

  1. Für die Installation und Konfiguration von Active Directory und des DNS-Servers benötigen Sie Folgendes:

    • Eine Windows Server 2019-Maschine mit Administratorberechtigungen
    • Grundlegende Vertrautheit mit PowerShell-Befehlen und Windows-Server-Management

  2. Zum direkten Verbinden von RHEL-Systemen mit Active Directory mithilfe von Samba Winbind benötigen Sie Folgendes:

    • Ein RHEL-System, das Samba Winbind ausführen kann
    • Vertrautheit mit der RHEL-Befehlszeilenschnittstelle und Systemkonfiguration
    • Zugriff auf die Active Directory-Domäne und entsprechende Berechtigungen für die Teilnahme an der Domäne

Voraussetzungen für das Netz

  1. Netzkonnektivität: Sie benötigen stabile und zuverlässige Netzkonnektivität zwischen der Windows Server 2019-Maschine (auf der Active Directory und DNS installiert sind) und den RHEL-Systemen, die mit der Domäne verknüpft sind. Stellen Sie sicher, dass keine Netzkommunikationsprobleme oder Firewalls vorliegen, die wichtige Ports blockieren.

  2. Firewallregeln: Überprüfen und aktualisieren Sie Firewallregeln, um die erforderliche Kommunikation zwischen der Windows Server 2019-Maschine, RHEL-Systemen und den Domänencontrollern zu ermöglichen. Schlüsselports, die für die Active Directory-Kommunikation verwendet werden, sind TCP/UDP 53 (DNS), TCP/UDP 88 (Kerberos), TCP 135 (RPC), TCP/UDP 389 (LDAP), TCP/UDP 445 (SMB) und TCP/UDP 636 (LDAPS).

  3. Erreichbarkeit des Domänencontrollers: Bestätigen Sie, dass die RHEL-Systeme die Active Directory-Domänencontroller ohne Konnektivitätsprobleme erreichen können. Verwenden Sie Tools wie ping oder nslookup, um zu überprüfen, ob der Hostname und die IP-Adresse des Domänencontrollers von den RHEL-Systemen aufgelöst werden können.

  4. Zeitsynchronisation: Stellen Sie sicher, dass alle Systeme, die an der Active Directory-Domäne teilnehmen, einschließlich der Windows Server 2019-Maschine und RHEL-Systeme, ihre Uhren mit einer zuverlässigen Zeitquelle synchronisiert haben. Die Zeitsynchronisation ist für eine ordnungsgemäße Authentifizierung und Kerberos-Ticketvalidierung kritisch.

  5. DNS-Konfiguration der Domäne: Die Active Directory-Domäne muss ordnungsgemäß konfigurierte DNS-Einstellungen haben. Legen Sie die IP-Adresse des Domänencontrollers als primären DNS-Server auf allen Systemen (einschließlich der Windows Server 2019-Maschine und RHEL-Systeme) fest, die zur Domäne Active Directory gehören.

  6. DNS-Auflösung: Überprüfen Sie, dass sowohl Forward-als auch Reverse-DNS-Auflösungen ordnungsgemäß funktionieren. Der Hostname des Domänencontrollers muss von der Maschine mit Windows Server 2019 und RHEL-Systemen auflösbar sein und der Hostname der Maschine mit Windows Server 2019 muss von den RHEL-Systemen auflösbar sein.

  7. DNS-Domänenname: Stellen Sie sicher, dass der DNS-Domänenname von Active Directory mit dem Domänennamen übereinstimmt, der während des Konfigurationsprozesses verwendet wird. In diesem Fall der Domänenname "POCDOMAIN.LOCAL" für Active Directory muss in der Konfiguration konsistent sein.

  8. Active Directory-Benutzerkonto mit Administratorberechtigungen: Stellen Sie sicher, dass ein Active Directory-Benutzerkonto mit Administratorberechtigungen während des Konfigurationsprozesses verfügbar ist. Dieses Konto wird verwendet, um die Maschine mit Windows Server 2019 als Domänencontroller hochzustufen und die RHEL-Systeme mit der Domäne Active Directory zu verknüpfen.

Active Directory und DNS-Server installieren und konfigurieren

Gehen Sie wie folgt vor, um den Active Directory-Service und DNS-Server unter Windows Server 2019 zu installieren und zu konfigurieren:

  1. Drücken Sie die Taste Windows + X auf Ihrer Tastatur, um auf das Menü Hauptbenutzer zuzugreifen.

  2. Wählen Sie in der Liste Windows PowerShell (Admin) aus, um eine erhöhte PowerShell-Sitzung mit Administratorberechtigungen zu starten.

  3. Führen Sie die folgenden PowerShell-Befehle aus, um die erforderlichen Rollen für Active Directory und den DNS-Server auf dem Windows-Server zu installieren:

    # Install the Active Directory Domain Services role and DNS server role
Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools

  4. Führen Sie den folgenden PowerShell-Befehl aus, um den Server auf einen Domänencontroller mit integriertem DNS hochzustufen:

    # Set the required parameters
$DomainName = "POCDOMAIN.LOCAL"
$SafeModePassword = ConvertTo-SecureString -AsPlainText "MySecureDSRMpwd2023!" -Force

# Configure and promote the server as a domain controller with integrated DNS
Install-ADDSForest -DomainName $DomainName -SafeModeAdministratorPassword $SafeModePassword -DomainMode Winthreshold -ForestMode Winthreshold -InstallDNS
    • Beispieldomänenname: POCDOMAIN.LOCAL
    • Beispiel für ein DSRM-Kennwort: MySecureDSRMpwd2023!

  5. Nach der Ausführung der PowerShell-Befehle werden die Active Directory-Domänendienste und DNS-Serverrollen auf dem Server installiert und konfiguriert. Der Server wird automatisch erneut gestartet, um den Umstufungsprozess des Domänencontrollers abzuschließen.

Konfiguration prüfen

Nach dem Serverneustart können Sie sich mit dem Domänenadministratorkonto anmelden, das Sie während des Hochstufungsprozesses erstellt haben.

Führen Sie die folgenden Prüfungen durch, um die ordnungsgemäße Konfiguration von Active Directory und DNS zu überprüfen:

  1. Um das Active Directory-Management zu überprüfen, öffnen Sie Server Manager und bestätigen Sie im Dashboard das Vorhandensein von "Active Directory-Benutzer und -Computer" und "DNS", die im Abschnitt Tools aufgelistet sind. Dies weist auf eine erfolgreiche Installation der Active Directory-und DNS-Management-Tools hin.
  2. Zur Überprüfung der Benutzer-und Gruppenverwaltung starten Sie Active Directory Users and Computers, um Benutzerkonten, Gruppen und Organisationseinheiten (OUs) innerhalb der Domäne zu verwalten.
  3. Zur Überprüfung der DNS-Verwaltung greifen Sie auf DNS Manager zu, um DNS-Zonen und -Datensätze für die Domäne zu verwalten.
  4. Um die Integration der Clientmaschine auf einer Clientmaschine innerhalb desselben Netzes zu überprüfen, konfigurieren Sie die DNS-Einstellungen so, dass sie auf die IP-Adresse des neu hochgestuften Domänencontrollers verweisen. Verbinden Sie dann die Clientmaschine mit der Domäne POCDOMAIN.LOCAL. Eine erfolgreiche Verbindung bestätigt die ordnungsgemäße DNS-Auflösung und funktionale Active Directory-Domänenservices.

Sie haben Active Directory und den DNS-Server unter Windows Server 2019 erfolgreich mithilfe von PowerShellinstalliert und konfiguriert. Ihr neuer Domänencontroller mit integriertem DNS ist jetzt bereit, Benutzerkonten, Computer und andere Netzressourcen innerhalb der POCDOMAIN.LOCAL-Domäne zu verwalten.

Benutzergruppe und Benutzer in Active Directory

Führen Sie zum Erstellen einer Benutzergruppe, "LSF-Gruppe", und eines Benutzers, "lsfuser01", in der Domäne Active Directory POCDOMAIN.LOCAL die folgenden Schritte aus, indem Sie das Verwaltungstool Active Directory Users and Computers (ADUC) auf einem Windows-Server verwenden:

Zum Erstellen von Benutzergruppen und Benutzern in der POCDOMAIN.LOCAL Active Directory-Domäne sind Administratorrechte in dieser Domäne erforderlich. Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen zum Erstellen von Gruppen und Benutzern verfügen. Legen Sie immer sichere Kennwörter fest und befolgen Sie die bewährten Sicherheitsverfahren, wenn Sie Benutzerkonten und -gruppen in Active Directory erstellen, um eine sichere Netzumgebung zu verwalten.

  1. Öffnen Sie Active Directory Users and Computers:
    1. Melden Sie sich am Windows-Server mit Ihren Administratorberechtigungen an.
    2. Klicken Sie auf 'Start' und suchen Sie nach 'Active Directory Users and Computers'.
    3. Starten Sie die Managementkonsole "Active Directory Users and Computers".
  2. Erstellen Sie eine Benutzergruppe namens "LSF-Gruppe":
    1. Navigieren Sie in der ADUC-Konsole zur Organisationseinheit in der POCDOMAIN.LOCAL-Domäne, in der Sie die Benutzergruppe erstellen möchten.
    2. Klicken Sie auf die OU und wählen Sie "Neu" und dann "Gruppe" aus.
    3. Geben Sie im Dialogfeld "Neues Objekt-Gruppe" "LSF-Gruppe" als Gruppennamen ein.
    4. Wählen Sie den Gruppenbereich (z. B. Global) und den Gruppentyp (z. B. Sicherheit) aus.
    5. Klicken Sie auf "OK", um die Benutzergruppe "LSF-Gruppe" zu erstellen.
  3. Erstellen Sie einen Benutzer mit dem Namenlsfuser01:
    1. Navigieren Sie in der ADUC-Konsole zu derselben oder einer anderen Organisationseinheit (OU) in der Domäne "pocdomain.local", in der Sie den Benutzer "lsfuser01" erstellen wollen.
    2. Klicken Sie auf die OU und wählen Sie "Neu" und dann "Benutzer" aus.
    3. Geben Sie im Dialogfenster "Neues Objekt-Benutzer" die erforderlichen Informationen für den Benutzer "lsfuser01" ein.
    4. Klicken Sie auf "Weiter", um weitere Schritte auszuführen.
    5. Überprüfen Sie die eingegebenen Informationen und klicken Sie auf "Fertig stellen", um den neuen Benutzer "lsfuser01" zu erstellen.
  4. Fügen Sie "lsfuser01" zur Benutzergruppe "LSF-group" hinzu:
    1. Suchen Sie in der ADUC-Konsole die Benutzergruppe "LSF-Gruppe", die Sie zuvor erstellt haben.
    2. Klicken Sie auf die Benutzergruppe "LSF-Gruppe" und wählen Sie "Eigenschaften" aus.
    3. Wechseln Sie im Dialogfeld "Eigenschaften" zur Registerkarte "Mitglieder".
    4. Klicken Sie auf "Hinzufügen" und geben Sie dann "lsfuser01" in das Feld "Geben Sie die auszuwählenden Objektnamen ein" ein.
    5. Klicken Sie auf "Namen prüfen", um den Benutzernamen zu validieren.
    6. Klicken Sie auf "OK", um "lsfuser01" zur Benutzergruppe "LSF-Gruppe" hinzuzufügen.
    7. Klicken Sie auf "Anwenden" und dann auf "OK", um die Änderungen zu speichern.

LSF-Cluster mithilfe von Samba Winbind in Active Directory integrieren

Um ein RHEL 8.4-based-System mit Active Directoryzu verbinden, sind zwei Komponenten erforderlich: Samba Winbind und realmd. Samba Winbind interagiert mit der Active Directory-Identitäts-und Authentifizierungsquelle, während realmd verfügbare Domänen erkennt und die zugrunde liegenden RHEL-Systemservices konfiguriert.

Unterstützte Windows-Plattformen für direkte Integration

Die direkte Integration mit Active Directory-Gesamtstrukturen ist mit den folgenden Gesamtstruktur-und Domänenfunktionsebenen kompatibel:

  • Funktionsbereich der Gesamtstruktur: Windows Server 2008-Windows Server 2016
  • Funktionsbereich der Domäne: Windows Server 2008-Windows Server 2016

Unterstützte Betriebssysteme für die direkte Integration:

  • Windows Server 2022 (RHEL 8.7 und höher)
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Windows Server 2019 und Windows Server 2022 führen keine neuen Funktionsebenen ein und verwenden die höchste Funktionsebene von Windows Server 2016.

Unterstützung für allgemeine Verschlüsselungstypen in Active Directory und RHEL sicherstellen

Samba Winbind unterstützt standardmäßig die Verschlüsselungstypen RC4, AES-128und AES-256 Kerberos. Die RC4-Verschlüsselung ist jedoch veraltet und aufgrund von Sicherheitsaspekten standardmäßig inaktiviert. Active Directory-Benutzerberechtigungsnachweise und -Vertrauensstellungen basieren möglicherweise weiterhin auf der Verschlüsselung RC4, was zu Authentifizierungsproblemen führt.

Um die Kompatibilität sicherzustellen, haben Sie zwei Möglichkeiten:

  1. Unterstützung der AES-Verschlüsselung in Active Directory aktivieren
  2. RC4-Unterstützung in RHEL aktivieren

Zur Aktivierung der RC4-Unterstützung in RHEL variieren die Schritte je nach RHEL-Version. Ausführliche Anweisungen finden Sie in der offiziellen Dokumentation (Link zur RHEL-Dokumentationssite).

LSF-Clusterknoten mit Active Directory-Domäne verknüpfen

Führen Sie die folgenden Schritte aus, um einen LSF-Clusterknoten, der unter RHEL 8.4 gehostet wird, mithilfe von Samba Winbind und realmd einer Active Directory-Domäne hinzuzufügen:

Samba Winbind ist eine Alternative zum System Security Services Daemon (SSSD) für die Verbindung eines RHEL-Systems mit Active Directory. Dieser Abschnitt beschreibt, wie Sie ein RHEL-System mit einer Active Directory-Domäne verknüpfen, indem Sie realmd verwenden, um Samba Winbind zu konfigurieren.

  1. Installieren Sie die folgenden Pakete:

    # yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients samba-winbind samba-common-tools samba-winbind-krb5-locator openldap-clients krb5-workstation samba adcli bind-utils

  2. Aktualisieren Sie die Pakete:

    # yum update

  3. Aktualisieren Sie /etc/hosts, indem Sie die IP-Adresse und den Namen der Active Directory-Domäne hinzufügen:

    Beispiel:

    [root@amit-rhel84 ~]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
10.243.0.39 addc1.POCDomain.local

Note:- addc1.POCDomain.local is the AD server FQDN name

  4. Aktualisieren Sie die DNS-Einträge in der Datei /etc/resolv.conf mit dem folgenden Befehl:

    sudo nmcli connection modify "System eth0" ipv4.dns "10.243.0.39" ipv4.ignore-auto-dns yes

    Der Befehl aktualisiert nicht nur die DNS-Einträge in der Datei /etc/resolv.conf, sondern stellt auch sicher, dass die DNS-Einträge nicht automatisch auf cloudbasierte DNS-Server aktualisiert werden.

  5. Bestätigen Sie die Änderungen in der DNS-Datei:

    [root@amit-rhel84 ~]# cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 10.240.0.39
[root@amit-rhel84 ~]#

    Setzen Sie anschließend ein Pingsignal an den Domänencontroller mit der Active Directory-Domäne ab. Beispiel:

    [root@amit-rhel84 ~]#
In addition to the confirmation, ping the Domain Controller with Name : - Ping POCDOMAIN.LOCAL
[root@amit-rhel84 ~]# ping POCDOMAIN.LOCAL
PING POCDOMAIN.LOCAL (10.240.0.39) 56(84) bytes of data.
64 bytes from addc1.POCDomain.local (10.240.0.39): icmp_seq=1 ttl=128 time=0.365 ms
64 bytes from addc1.POCDomain.local (10.240.0.39): icmp_seq=2 ttl=128 time=0.722 ms
64 bytes from addc1.POCDomain.local (10.240.0.39): icmp_seq=3 ttl=128 time=0.581 ms
64 bytes from addc1.POCDomain.local (10.240.0.39): icmp_seq=4 ttl=128 time=0.525 ms

  6. Führen Sie nslookup aus, um sicherzustellen, dass die Domäne Active Directory aufgelöst werden kann. Beispiel:

    [root@amit-rhel84 ~]#  nslookup pocdomain.local
Server:         10.240.0.39
Address:        10.240.0.39#53

Name:   pocdomain.local
Address: 10.240.0.39

  7. Wenn für Active Directory der veraltete Verschlüsselungstyp RC4 für die Kerberos-Authentifizierung erforderlich ist, aktivieren Sie die Unterstützung für die folgenden Verschlüsselungen in RHEL:

    # update-crypto-policies --set DEFAULT:AD-SUPPORT

    Nachdem Sie den Befehl ausgeführt haben, aktualisiert er die Verschlüsselungsrichtlinien und fordert Sie zum Neustart der Maschine auf.

  8. Sie müssen jetzt die vorhandene /etc/samba/smb.conf Samba-Konfigurationsdatei sichern:

    # mv /etc/samba/smb.conf /etc/samba/smb.conf.bak

  9. Verbinden Sie den RHEL 8.x-Host mit der Domäne Active Directory. Im folgenden Beispiel wird eine Domäne mit dem Namen POCDOMAIN.LOCAL verknüpft:

    # realm join --membership-software=samba --client-software=winbind POCDOMAIN.LOCAL

    Wenn Sie diesen Befehl ausführen, führt das Dienstprogramm realm automatisch Folgendes aus:

    • Erstellt eine Datei /etc/samba/smb.conf für eine Zugehörigkeit zur Domäne POCDOMAIN.LOCAL
    • Fügt das Winbind-Modul für Benutzer-und Gruppensuchen zur Datei /etc/nsswitch.conf hinzu.
    • Aktualisiert die PAM-Konfigurationsdateien (Pluggable Authentication Module) im Verzeichnis /etc/pam.d/.
    • Startet den Winbind-Service und aktiviert den Start des Service beim Booten des Systems.

  10. (Optional) Legen Sie in der Datei /etc/samba/smb.conf eine alternative Back-End-ID-Zuordnung oder angepasste ID-Zuordnungseinstellungen fest. Weitere Informationen finden Sie unter Understanding and configuring Samba ID mapping.

  11. Bearbeiten Sie die Datei /etc/krb5.conf und fügen Sie den folgenden Abschnitt hinzu:

[plugins]
localauth = {
        module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
        enable_only = winbind
    }
  1. Überprüfen Sie, ob der Winbind-Service aktiv ist:
# systemctl status winbind

Beispielanforderung und -antwort:

[root@amit-rhel84 ~]# systemctl status winbind
winbind.service - Samba Winbind Daemon
Loaded: loaded (/usr/lib/systemd/system/winbind.service; enabled; vendor preset: disabled)
Active: active (running) since Wed 2023-08-09 08:16:16 EDT; 1h 42min ago
 Docs: man:winbindd(8)
       man:samba(7)
       man:smb.conf(5)
Main PID: 4889 (winbindd)
 Status: "winbindd: ready to serve connections..."
 Tasks: 5 (limit: 49264)
 Memory: 10.9M
CGroup: /system.slice/winbind.service
        ├─4889 /usr/sbin/winbindd --foreground --no-process-group
        ├─4893 /usr/sbin/winbindd --foreground --no-process-group
        ├─4894 /usr/sbin/winbindd --foreground --no-process-group
        ├─4924 /usr/sbin/winbindd --foreground --no-process-group
        └─5997 /usr/sbin/winbindd --foreground --no-process-group Important

Damit Samba Domänenbenutzer-und Gruppeninformationen abfragen kann, muss der Winbind-Service aktiv sein, bevor Sie smb starten.

  1. Wenn Sie das Paket Samba installiert haben, um Verzeichnisse und Drucker gemeinsam zu nutzen, aktivieren und starten Sie den smb-Service:
# systemctl enable --now smb ----tobe noted
  1. Stellen Sie sicher, dass die Kennwortauthentifizierung in der Datei `/etc/ssh/sshd_config`` auf "yes" gesetzt ist, wie im folgenden Beispiel gezeigt:
[root@amit-adclnt ~]# cat /etc/ssh/sshd_config | grep "PasswordAuth"
#PasswordAuthentication yes
PasswordAuthentication yes
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication, then enable this but set PasswordAuthentication

Integration prüfen

  1. Überprüfen Sie die Details eines Active Directory-Benutzers, wie z. B. das Administratorkonto Active Directory in der Domäne Active Directory:

    # getent passwd "POCDOMAIN\administrator"

    Beispielausgabe:

    POCDOMAIN\administrator:*:2000500:2000513::/home/administrator@POCDOMAIN:/bin/bash

  2. Überprüfen Sie die Mitglieder in der Domänenbenutzergruppe in der Active Directory-Domäne:

    # getent group "POCDOMAIN\Domain Users"

    Beispielausgabe:

    POCDOMAIN\domain users:x:10000:lsfuser01,user2

  3. (Optional) Überprüfen Sie, ob Sie Domänenbenutzer und -gruppen verwenden können, wenn Sie Berechtigungen für Dateien und Verzeichnisse festlegen. Geben Sie beispielsweise Folgendes ein, um den Eigner der Datei /srv/samba/example.txt auf AD\administrator und die Gruppe auf AD\Domain Users zu setzen:

    # sudo chown "POCDOMAIN\administrator":"POCDOMAIN\Domain Users" example.txt

  4. Überprüfen Sie, ob die Kerberos-Authentifizierung wie erwartet funktioniert. Rufen Sie auf dem Domänenmitglied Active Directory ein Ticket für den Principal administrator@POCDOMAIN.LOCAL ab:

    # kinit administrator@POCDOMAIN.LOCAL

    Zeigen Sie das zwischengespeicherte Kerberos-Ticket an:

    # klist

    Beispielausgabe:

    Ticket cache: KCM:0
Default principal: Administrator@POCDOMAIN.LOCAL
Valid starting       Expires              Service principal
07/10/2023 16:28:51  07/11/2023 02:28:51  krbtgt/POCDOMAIN.LOCAL@POCDOMAIN.LOCAL
    renew until 07/17/2023 16:28:46

  5. Verfügbare Domänen anzeigen:

    [root@rhelad01 ~]# realm list
pocdomain.local
  type: kerberos
  realm-name: POCDOMAIN.LOCAL
  domain-name: pocdomain.local
  configured: kerberos-member
  server-software: active-directory
  client-software: winbind
  required-package: oddjob-mkhomedir
  required-package: oddjob
  required-package: samba-winbind-clients
  required-package: samba-winbind
  required-package: samba-common-tools
  login-formats: POCDOMAIN\%U
  login-policy: allow-any-login
        [root@rhelad01 ~]# wbinfo --all-domains
        BUILTIN
        RHELAD01
        POCDOMAIN

Wenn Sie die veralteten RC4-Verschlüsselungen nicht verwenden wollen, können Sie den AES-Verschlüsselungstyp in Active Directoryaktivieren.

Wiederholen Sie die vorherigen Schritte auf allen Clusterknoten, um sicherzustellen, dass alle Knoten der Domäne Active Directory hinzugefügt werden.

Erteilen von Rootbenutzerberechtigungen für Active Directory-Benutzer

Führen Sie die folgenden Schritte aus, um Rootbenutzerberechtigungen für Active Directory-Benutzer der POCDOMAIN.LOCAL-Domäne auf einer Linux®-Maschine bereitzustellen:

  1. Öffnen Sie ein Terminal oder stellen Sie eine Verbindung zur Linux®-Maschine her.

  2. Bearbeiten Sie die Datei sudoers mit dem Befehl visudo :

    sudo visudo

  3. Suchen Sie den Abschnitt in der Datei sudoers, in dem Benutzerberechtigungen konfiguriert werden:

    # Allow root to run any commands anywhere root ALL=(ALL) ALL

  4. Fügen Sie die folgende Zeile nach dem Rootbenutzereintrag hinzu, damit Active Directory-Benutzer in der Gruppe POCDOMAIN\Domain Admins Befehle mit Rootberechtigungen ausführen können: %POCDOMAIN\\Domain\ Admins ALL=(ALL) ALL

    Diese Zeile erteilt allen Active Directory-Benutzern in der Gruppe POCDOMAIN\Domain Admins Rootbenutzerberechtigungen. Die doppelten Backslashes ("") werden als Escapezeichen für Sonderzeichen verwendet.

  5. Speichern Sie die Änderungen in der Datei sudoers und beenden Sie den Editor.

  6. Active Directory-Benutzer, die Mitglieder der Gruppe POCDOMAIN\Domain Admins sind, können jetzt Befehle mit Rootberechtigungen über die sudo command ausführen. Beispiel:

    sudo command_to_execute_as_root

    Bei entsprechender Aufforderung muss der Active Directory-Benutzer sein eigenes Kennwort eingeben, um den Befehl mit erhöhten Berechtigungen zu authentifizieren und auszuführen.

Seien Sie vorsichtig, wenn Sie Active Directory-Benutzern Rootbenutzerberechtigungen erteilen. Es ist wichtig, diese Berechtigungen nur vertrauenswürdigen Personen zu erteilen, die sie für bestimmte Aufgaben benötigen. In diesem Anwendungsfall werden dem Active Directory-Domänenadministrator die Rootberechtigungen erteilt, der die höchste Berechtigung in der Active Directory-Umgebung besitzt. Die regelmäßige Überprüfung von Benutzerberechtigungen und die Einhaltung bewährter Sicherheitsverfahren tragen zur Aufrechterhaltung einer sicheren Systemumgebung bei.

LSF-Cluster konfigurieren

Nach der Konfiguration der Active Directory-Clientauthentifizierung müssen Sie den LSF-Cluster konfigurieren, um Benutzergruppen von Active Directoryhinzuzufügen:

  1. Melden Sie sich als LSF-Administrator bei einem beliebigen Host im Cluster an.

  2. Öffnen Sie lsb.users (/etc/opt/ibm/lsf/conf/lsbatch/HPCCLUSTER/comfigdir).

  3. Bearbeiten Sie den Abschnitt "UserGroup". Das folgende Beispiel zeigt den Abschnitt "UserGroup" von lsb.users. Wenn jedoch ein anderer Abschnitt "UserGroup" angezeigt wird, können Sie einen neuen Abschnitt mit den Werten in diesem Beispiel erstellen, der dem LSF-Cluster-Server entnommen wird:

    [root@ icgen2host-10-240-0-32 configdir]# cat lsb.users
  # $Revision$Date$

  # After editing this file, run "badmin reconfig" to apply your changes.

  # User groups can be referenced by the lsb.hosts and lsb.queues files.

  # All the example definitions here are commented out


  # User group for lsf cluster administration
  Begin UserGroup
  GROUP_NAME       PRIORITY       GROUPMEMBER             GROUP_ADMIN
  LSF-group       100       (lsfuser01 lsfuser05)          (lsfuser01)
  #groupA            200       (user1 user2 user3 user4)    (user5)
  #groupB            100           (groupA user5)               (groupA)
  #groupC             50            (!)                          ()
  End UserGroup


  # User group for all LSF administrators
  Begin UserGroup
  GROUP_NAME    GROUP_MEMBER      #USER_SHARES # Key words
  lsfadmins     (lsfadmin )
  Administrators  (lsfuser03)
  #ldapusers   (ldapuser01 ldapuser02)
  End UserGroup

  Note2:
  Define STRICT_UG_CONTROL=Y in lsb.params

  4. Um Benutzergruppenadministratoren zu aktivieren, geben Sie Benutzer oder Benutzergruppen in der Spalte GROUP_ADMIN an, trennen Sie Benutzer und Benutzergruppen durch Leerzeichen und schließen Sie jeden GROUP_ADMIN-Eintrag in Klammern ein.

  5. Speichern Sie Ihre Änderungen.

  6. Führen Sie badmin ckconfig aus, um die neue Benutzergruppendefinition zu überprüfen. Wenn Fehler gemeldet werden, beheben Sie das Problem und überprüfen Sie die Konfiguration erneut.

  7. Führen Sie badmin reconfig aus, um den Cluster neu zu konfigurieren.

LSF-Cluster verwalten

  1. Melden Sie sich mit dem Active Directory Benutzer POCDOMAIN\lsfuser01 an und führen Sie dann die im folgenden Beispiel aufgeführten LSF-Cluster-Tasks aus:

    [POCDOMAIN\lsfuser01@icgen2host-10-240-0-32 ~]$ lshosts
HOST_NAME      type    model  cpuf ncpus maxmem maxswp server RESOURCES
icgen2host-  X86_64 Intel_E5  12.5     4  15.4G      -    Yes (mg)
icgen2host-  X86_64 Intel_E5  12.5     4  15.4G      -    Yes (mg)
icgen2host-  X86_64 Intel_E5  12.5     4  15.4G      -    Dyn ()

[POCDOMAIN\lsfuser01@icgen2host-10-240-0-32 ~]$ lsload
HOST_NAME       status  r15s   r1m  r15m   ut    pg  ls    it   tmp   swp   mem
icgen2host-10-2     ok   0.0   0.0   0.0   1%   0.0   1     1   63G    0M 14.8G
icgen2host-10-2     ok   0.0   0.0   0.0   0%   0.0   0 12818   76G    0M 14.8G
icgen2host-10-2     ok   0.1   0.1   0.0   1%   0.0   0 12820   76G    0M 14.6G

[POCDOMAIN\lsfuser01@icgen2host-10-240-0-32 root]$ lshosts
HOST_NAME      type    model  cpuf ncpus maxmem maxswp server RESOURCES
icgen2host-  X86_64 Intel_E5  12.5     4  15.4G      -    Yes (mg)
icgen2host-  X86_64 Intel_E5  12.5     4  15.4G      -    Yes (mg)
icgen2host-  X86_64 Intel_E5  12.5     4  15.4G      -    Dyn ()
icgen2host-  X86_64 Intel_E5  12.5     -      -      -    Dyn (icgen2host)
icgen2host-  X86_64 Intel_E5  12.5     -      -      -    Dyn (icgen2host)
icgen2host-  X86_64 Intel_E5  12.5     -      -      -    Dyn (icgen2host)
icgen2host-  X86_64 Intel_E5  12.5     -      -      -    Dyn (icgen2host)
[POCDOMAIN\lsfuser01@icgen2host-10-240-0-32 root]$ bjobs
No unfinished job found

[POCDOMAIN\lsfuser01@icgen2host-10-240-0-32 root]$ lsid
IBM Spectrum LSF Standard 10.1.0.13, Jan 04 2023
Copyright International Business Machines Corp. 1992, 2016.
US Government Users Restricted Rights - Use, duplication or disclosure restricted by GSA ADP Schedule Contract with IBM Corp.

My cluster name is HPCCluster
My master name is icgen2host-10-240-0-35