IBM Cloud Docs
Intégration d' Active Directory à IBM Spectrum LSF

Intégration d' Active Directory à IBM Spectrum LSF

Ce tutoriel fournit des étapes détaillées pour les administrateurs système sur la manière d'intégrer IBM Spectrum LSF à un serveur Active Directory en tant que service d'annuaire principal pour l'authentification d'utilisateur. L'intégration d' IBM Spectrum LSF et Active Directory permet une gestion efficace des utilisateurs et un contrôle d'accès.

Dans ce tutoriel, vous allez apprendre à:

  • Installer et configurer Active Directory et le serveur DNS sur un serveur Windows Server 2019 à l'aide de PowerShell
  • Connectez un noeud de cluster LSF basé sur le système d'exploitation RHEL 8.4 directement à Active Directory à l'aide de Samba Winbind, vérifiez la compatibilité du chiffrement et joignez le noeud de cluster à un domaine Active Directory

Avant de commencer

Avant de commencer, prenez connaissance des prérequis suivants:

Conditions générales préalables

  1. Pour installer et configurer Active Directory et le serveur DNS, vous devez:

    • Une machine Windows Server 2019 avec des privilèges d'administration
    • Connaissance de base des commandes PowerShell et de la gestion de Windows Server

  2. Pour connecter des systèmes RHEL directement à Active Directory à l'aide de Samba Winbind, vous devez:

    • Un système RHEL capable d'exécuter Samba Winbind
    • Connaissance de l'interface de ligne de commande RHEL et de la configuration du système
    • Accès au domaine Active Directory et droits appropriés pour rejoindre le domaine

Conditions requises pour le réseau

  1. Connectivité réseau: Vous avez besoin d'une connectivité réseau stable et fiable entre la machine Windows Server 2019 (où Active Directory et DNS sont installés) et les systèmes RHEL qui sont joints au domaine. Vérifiez qu'il n'y a pas de problèmes de communication réseau ou de pare-feu qui bloquent les ports essentiels.

  2. Règles de pare-feu: Examinez et mettez à jour les règles de pare-feu pour permettre la communication nécessaire entre la machine Windows Server 2019, les systèmes RHEL et les contrôleurs de domaine. Les ports clés utilisés pour la communication Active Directory sont TCP/UDP 53 (DNS), TCP/UDP 88 (Kerberos), TCP 135 (RPC), TCP/UDP 389 (LDAP), TCP/UDP 445 (SMB) et TCP/UDP 636 (LDAPS).

  3. Accessibilité du contrôleur de domaine: vérifiez que les systèmes RHEL peuvent accéder aux contrôleurs de domaine Active Directory sans aucun problème de connectivité. Utilisez des outils tels que ping ou nslookup pour vérifier la capacité à résoudre le nom d'hôte et l'adresse IP du contrôleur de domaine à partir des systèmes RHEL.

  4. Synchronisation de l'heure: vérifiez que tous les systèmes participant au domaine Active Directory, y compris la machine Windows Server 2019 et les systèmes RHEL, ont leurs horloges synchronisées avec une source d'heure fiable. La synchronisation de l'heure est essentielle pour une authentification correcte et la validation des tickets Kerberos.

  5. Configuration DNS de domaine: le domaine Active Directory doit disposer de paramètres DNS correctement configurés. Définissez l'adresse IP du contrôleur de domaine en tant que serveur DNS principal sur tous les systèmes (y compris la machine Windows Server 2019 et les systèmes RHEL) qui font partie du domaine Active Directory.

  6. Résolution DNS: vérifiez que les résolutions DNS en aval et en amont fonctionnent correctement. Le nom d'hôte du contrôleur de domaine doit pouvoir être résolu à partir de la machine Windows Server 2019 et des systèmes RHEL, et le nom d'hôte de la machine Windows Server 2019 doit pouvoir être résolu à partir des systèmes RHEL.

  7. Nom de domaine DNS: Vérifiez que le nom de domaine DNS de Active Directory correspond au nom de domaine utilisé lors du processus de configuration. Dans ce cas, le nom de domaine "POCDOMAIN.LOCAL" utilisé pour Active Directory doit être cohérent dans toute la configuration.

  8. Compte utilisateurActive Directory avec des privilèges d'administration: vérifiez qu'un compte utilisateur Active Directory avec des privilèges d'administration peut être utilisé lors du processus de configuration. Ce compte est utilisé pour promouvoir la machine Windows Server 2019 en tant que contrôleur de domaine et pour joindre les systèmes RHEL au domaine Active Directory.

Installer et configurer Active Directory et le serveur DNS

Procédez comme suit pour installer et configurer le service Active Directory et le serveur DNS sous Windows Server 2019:

  1. Appuyez sur les touches Windows + X de votre clavier pour accéder au menu Utilisateur avec pouvoir .

  2. Dans la liste, sélectionnez Windows PowerShell (Admin) pour démarrer une session PowerShell élevée avec des privilèges d'administration.

  3. Pour installer les rôles nécessaires pour Active Directory et le serveur DNS sur le serveur Windows, exécutez les commandes PowerShell suivantes:

    # Install the Active Directory Domain Services role and DNS server role
Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools

  4. Pour promouvoir le serveur vers un contrôleur de domaine avec DNS intégré, exécutez la commande PowerShell suivante:

    # Set the required parameters
$DomainName = "POCDOMAIN.LOCAL"
$SafeModePassword = ConvertTo-SecureString -AsPlainText "MySecureDSRMpwd2023!" -Force

# Configure and promote the server as a domain controller with integrated DNS
Install-ADDSForest -DomainName $DomainName -SafeModeAdministratorPassword $SafeModePassword -DomainMode Winthreshold -ForestMode Winthreshold -InstallDNS
    • Exemple de nom de domaine: POCDOMAIN.LOCAL
    • Exemple de mot de passe DSRM: MySecureDSRMpwd2023!

  5. Une fois que vous avez exécuté les commandes PowerShell, les services de domaine Active Directory et les rôles de serveur DNS sont installés et configurés sur le serveur. Le serveur redémarre automatiquement pour terminer le processus de promotion du contrôleur de domaine.

Vérifier la configuration

Une fois le serveur redémarré, vous pouvez vous connecter à l'aide du compte d'administrateur de domaine que vous avez créé lors du processus de promotion.

Pour vérifier la configuration correcte d' Active Directory et de DNS, effectuez les vérifications suivantes:

  1. Pour vérifier la gestion d' Active Directory, ouvrez Server Manager et dans le Tableau de bord , confirmez la présence de "Active Directory Users and Computers" et de "DNS" répertoriés dans la section Tools . Cela indique que l'installation des outils de gestion Active Directory et DNS a abouti.
  2. Pour vérifier la gestion des utilisateurs et des groupes, démarrez Active Directory Users and Computers pour gérer les comptes utilisateur, les groupes et les unités organisationnelles (OU) au sein du domaine.
  3. Pour vérifier la gestion DNS, accédez à DNS Manager afin de gérer les zones et les enregistrements DNS pour le domaine.
  4. Pour vérifier l'intégration de la machine client, sur une machine client du même réseau, configurez les paramètres DNS pour qu'ils pointent vers l'adresse IP du contrôleur de domaine nouvellement promu. Ensuite, joignez la machine client au domaine POCDOMAIN.LOCAL. Une connexion réussie confirme la résolution DNS appropriée et les services de domaine Active Directory fonctionnels.

Vous venez d'installer et de configurer le serveur Active Directory et le serveur DNS sur Windows Server 2019 à l'aide de PowerShell. Votre nouveau contrôleur de domaine avec DNS intégré est désormais prêt à gérer des comptes utilisateur, des ordinateurs et d'autres ressources réseau au sein du domaine POCDOMAIN.LOCAL.

Création d'un groupe d'utilisateurs et d'utilisateurs dans Active Directory

Pour créer un groupe d'utilisateurs, "LSF-group", et un utilisateur, "lsfuser01", dans le domaine Active Directory POCDOMAIN.LOCAL, procédez comme suit à l'aide de l'outil de gestion Active Directory Users and Computers (ADUC) sur un serveur Windows:

La création de groupes d'utilisateurs et d'utilisateurs dans le domaine POCDOMAIN.LOCAL Active Directory requiert des privilèges d'administration au sein de ce domaine. Vérifiez que vous disposez des droits nécessaires pour créer des groupes et des utilisateurs. Définissez toujours des mots de passe forts et respectez les meilleures pratiques de sécurité lorsque vous créez des comptes utilisateur et des groupes dans Active Directory afin de maintenir un environnement réseau sécurisé.

  1. Ouvrez les utilisateurs et les ordinateurs Active Directory:
    1. Connectez-vous au serveur Windows avec vos privilèges d'administration.
    2. Cliquez sur Démarrer et recherchez "Utilisateurs et ordinateursActive Directory ".
    3. Démarrez la console de gestion "Active Directory Users and Computers".
  2. Créez un groupe d'utilisateurs nommé "LSF-group":
    1. Dans la console ADUC, accédez à l'unité organisationnelle (OU) dans le domaine POCDOMAIN.LOCAL où vous souhaitez créer le groupe d'utilisateurs.
    2. Cliquez sur l'unité organisationnelle et sélectionnez "Nouveau", puis "Groupe".
    3. Dans la boîte de dialogue "New Object-Group", entrez "LSF-group" comme nom de groupe.
    4. Choisissez la portée de groupe (par exemple, Global) et le type de groupe (par exemple, Sécurité).
    5. Cliquez sur "OK" pour créer le groupe d'utilisateurs "LSF-group".
  3. Créez un utilisateur nommé "lsfuser01":
    1. Dans la console ADUC, accédez à la même unité organisationnelle (OU) ou à une unité organisationnelle différente dans le domaine "pocdomain.local" où vous souhaitez créer l'utilisateur "lsfuser01."
    2. Cliquez sur l'unité organisationnelle et sélectionnez "Nouveau", puis "Utilisateur".
    3. Dans la boîte de dialogue "Nouvel objet-Utilisateur", entrez les informations requises pour le nouvel utilisateur "lsfuser01".
    4. Cliquez sur "Suivant" pour poursuivre les étapes supplémentaires.
    5. Passez en revue les informations saisies et cliquez sur "Terminer" pour créer le nouvel utilisateur "lsfuser01".
  4. Ajoutez "lsfuser01" au groupe d'utilisateurs "LSF-group":
    1. Dans la console ADUC, localisez le groupe d'utilisateurs "LSF-group" que vous avez créé précédemment.
    2. Cliquez sur le groupe d'utilisateurs "Groupe LSF" et sélectionnez "Propriétés".
    3. Dans la boîte de dialogue "Propriétés", accédez à l'onglet "Membres".
    4. Cliquez sur "Ajouter", puis entrez "lsfuser01" dans la zone "Entrez les noms d'objet à sélectionner".
    5. Cliquez sur "Vérifier les noms" pour valider le nom d'utilisateur.
    6. Cliquez sur "OK" pour ajouter "lsfuser01" au groupe d'utilisateurs "LSF-group".
    7. Cliquez sur "Appliquer", puis sur "OK" pour enregistrer les modifications.

Intégrez le cluster LSF à Active Directory à l'aide de Samba Winbind

Pour connecter un système RHEL 8.4-based à Active Directory, deux composants sont nécessaires: Samba Winbind et realmd. Samba Winbind interagit avec la source d'identité et d'authentification Active Directory, tandis que realmd détecte les domaines disponibles et configure les services système RHEL sous-jacents.

Plateformes Windows prises en charge pour l'intégration directe

L'intégration directe avec les forêts Active Directory est compatible avec les niveaux fonctionnels de forêt et de domaine suivants:

  • Plage de niveau fonctionnel de la forêt: Windows Server 2008-Windows Server 2016
  • Plage de niveaux fonctionnels de domaine: Windows Server 2008-Windows Server 2016

Systèmes d'exploitation pris en charge pour l'intégration directe:

  • Windows Server 2022 (RHEL 8.7 et versions ultérieures)
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Windows Server 2019 et Windows Server 2022 n'introduisent pas de nouveaux niveaux fonctionnels et utilisent le niveau fonctionnel le plus élevé de Windows Server 2016.

Assurer la prise en charge des types de chiffrement communs dans Active Directory et RHEL

Samba Winbind prend en charge les types de chiffrement RC4, AES-128et AES-256 Kerberos par défaut. Toutefois, le chiffrement RC4 est obsolète et désactivé par défaut pour des raisons de sécurité. Les données d'identification et les accréditations de l'utilisateur Active Directory peuvent toujours s'appuyer sur le chiffrement RC4, ce qui entraîne des problèmes d'authentification.

Pour garantir la compatibilité, vous disposez de deux options:

  1. Activation de la prise en charge du chiffrement AES dans Active Directory
  2. Activation de la prise en charge de RC4 dans RHEL

Pour activer la prise en charge de RC4 dans RHEL, les étapes varient en fonction de la version de RHEL. Reportez-vous à la documentation officielle pour obtenir des instructions détaillées (lien vers le site de la documentation RHEL).

Association d'un noeud de cluster LSF au domaine Active Directory

Pour joindre un noeud de cluster LSF hébergé sur RHEL 8.4 à un domaine Active Directory à l'aide de Samba Winbind et realmd, procédez comme suit:

Samba Winbind est une alternative au démon SSSD (System Security Services Daemon) pour la connexion d'un système RHEL à Active Directory. Cette section explique comment joindre un système RHEL à un domaine Active Directory en utilisant realmd pour configurer Samba Winbind.

  1. Installez les packages suivants:

    # yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients samba-winbind samba-common-tools samba-winbind-krb5-locator openldap-clients krb5-workstation samba adcli bind-utils

  2. Mettez à jour les packages:

    # yum update

  3. Mettez à jour /etc/hosts en ajoutant l'adresse IP et le nom de domaine Active Directory:

    Exemple :

    [root@amit-rhel84 ~]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
10.243.0.39 addc1.POCDomain.local

Note:- addc1.POCDomain.local is the AD server FQDN name

  4. Mettez à jour les entrées DNS dans le fichier /etc/resolv.conf en exécutant la commande suivante:

    sudo nmcli connection modify "System eth0" ipv4.dns "10.243.0.39" ipv4.ignore-auto-dns yes

    La commande met non seulement à jour les entrées DNS dans le fichier /etc/resolv.conf, mais elle garantit également que les entrées DNS ne sont pas automatiquement mises à jour sur les serveurs DNS basés sur le cloud.

  5. Confirmez les modifications dans le fichier DNS:

    [root@amit-rhel84 ~]# cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 10.240.0.39
[root@amit-rhel84 ~]#

    Ensuite, envoyez une commande ping au contrôleur de domaine avec le domaine Active Directory, par exemple:

    [root@amit-rhel84 ~]#
In addition to the confirmation, ping the Domain Controller with Name : - Ping POCDOMAIN.LOCAL
[root@amit-rhel84 ~]# ping POCDOMAIN.LOCAL
PING POCDOMAIN.LOCAL (10.240.0.39) 56(84) bytes of data.
64 bytes from addc1.POCDomain.local (10.240.0.39): icmp_seq=1 ttl=128 time=0.365 ms
64 bytes from addc1.POCDomain.local (10.240.0.39): icmp_seq=2 ttl=128 time=0.722 ms
64 bytes from addc1.POCDomain.local (10.240.0.39): icmp_seq=3 ttl=128 time=0.581 ms
64 bytes from addc1.POCDomain.local (10.240.0.39): icmp_seq=4 ttl=128 time=0.525 ms

  6. Exécutez nslookup pour vous assurer que le domaine Active Directory peut être résolu, par exemple:

    [root@amit-rhel84 ~]#  nslookup pocdomain.local
Server:         10.240.0.39
Address:        10.240.0.39#53

Name:   pocdomain.local
Address: 10.240.0.39

  7. Si Active Directory requiert le type de chiffrement RC4 obsolète pour l'authentification Kerberos, activez la prise en charge de ces chiffrements dans RHEL:

    # update-crypto-policies --set DEFAULT:AD-SUPPORT

    Une fois que vous avez exécuté la commande, elle met à jour les règles de chiffrement et vous demande de redémarrer la machine.

  8. Vous devez maintenant sauvegarder le fichier de configuration /etc/samba/smb.conf Samba existant:

    # mv /etc/samba/smb.conf /etc/samba/smb.conf.bak

  9. Associez l'hôte RHEL 8.x au domaine Active Directory. L'exemple suivant joint un domaine nommé POCDOMAIN.LOCAL:

    # realm join --membership-software=samba --client-software=winbind POCDOMAIN.LOCAL

    Lorsque vous exécutez cette commande, l'utilitaire realm :

    • Crée un fichier /etc/samba/smb.conf pour une appartenance au domaine POCDOMAIN.LOCAL
    • Ajoute le module Winbind pour les recherches d'utilisateurs et de groupes au fichier /etc/nsswitch.conf
    • Mise à jour des fichiers de configuration du module PAM (Pluggable Authentication Module) dans le répertoire /etc/pam.d/
    • Démarre le service Winbind et permet au service de démarrer lorsque le système démarre

  10. (Facultatif) Définissez un système de back end de mappage d'ID alternatif ou des paramètres de mappage d'ID personnalisés dans le fichier /etc/samba/smb.conf. Pour plus d'informations, voir Présentation et configuration du mappage d'ID Samba.

  11. Editez le fichier /etc/krb5.conf et ajoutez la section suivante:

[plugins]
localauth = {
        module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
        enable_only = winbind
    }
  1. Vérifiez que le service Winbind est en cours d'exécution:
# systemctl status winbind

Exemple de demande et de réponse:

[root@amit-rhel84 ~]# systemctl status winbind
winbind.service - Samba Winbind Daemon
Loaded: loaded (/usr/lib/systemd/system/winbind.service; enabled; vendor preset: disabled)
Active: active (running) since Wed 2023-08-09 08:16:16 EDT; 1h 42min ago
 Docs: man:winbindd(8)
       man:samba(7)
       man:smb.conf(5)
Main PID: 4889 (winbindd)
 Status: "winbindd: ready to serve connections..."
 Tasks: 5 (limit: 49264)
 Memory: 10.9M
CGroup: /system.slice/winbind.service
        ├─4889 /usr/sbin/winbindd --foreground --no-process-group
        ├─4893 /usr/sbin/winbindd --foreground --no-process-group
        ├─4894 /usr/sbin/winbindd --foreground --no-process-group
        ├─4924 /usr/sbin/winbindd --foreground --no-process-group
        └─5997 /usr/sbin/winbindd --foreground --no-process-group Important

Pour permettre à Samba de demander des informations sur les utilisateurs et les groupes de domaine, le service Winbind doit être en cours d'exécution avant de démarrer smb.

  1. Si vous avez installé le package Samba pour partager des répertoires et des imprimantes, activez et démarrez le service smb :
# systemctl enable --now smb ----tobe noted
  1. Assurez-vous que l'authentification par mot de passe est définie sur "yes" dans le fichier `/etc/ssh/sshd_config``, comme illustré dans l'exemple suivant:
[root@amit-adclnt ~]# cat /etc/ssh/sshd_config | grep "PasswordAuth"
#PasswordAuthentication yes
PasswordAuthentication yes
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication, then enable this but set PasswordAuthentication

Vérifier l'intégration

  1. Vérifiez les détails d'un utilisateur Active Directory, tels que le compte administrateur Active Directory dans le domaine Active Directory:

    # getent passwd "POCDOMAIN\administrator"

    Exemple de sortie :

    POCDOMAIN\administrator:*:2000500:2000513::/home/administrator@POCDOMAIN:/bin/bash

  2. Vérifiez les membres du groupe d'utilisateurs de domaine dans le domaine Active Directory:

    # getent group "POCDOMAIN\Domain Users"

    Exemple de sortie :

    POCDOMAIN\domain users:x:10000:lsfuser01,user2

  3. (Facultatif) Vérifiez que vous pouvez utiliser des utilisateurs et des groupes de domaine lorsque vous définissez des droits sur des fichiers et des répertoires. Par exemple, pour définir le propriétaire du fichier /srv/samba/example.txt sur AD\administrator et le groupe sur AD\Domain Users:

    # sudo chown "POCDOMAIN\administrator":"POCDOMAIN\Domain Users" example.txt

  4. Vérifiez que l'authentification Kerberos fonctionne comme prévu. Sur le membre de domaine Active Directory, obtenez un ticket pour le principal administrator@POCDOMAIN.LOCAL :

    # kinit administrator@POCDOMAIN.LOCAL

    Affichez le ticket Kerberos mis en cache:

    # klist

    Exemple de sortie :

    Ticket cache: KCM:0
Default principal: Administrator@POCDOMAIN.LOCAL
Valid starting       Expires              Service principal
07/10/2023 16:28:51  07/11/2023 02:28:51  krbtgt/POCDOMAIN.LOCAL@POCDOMAIN.LOCAL
    renew until 07/17/2023 16:28:46

  5. Affichez les domaines disponibles:

    [root@rhelad01 ~]# realm list
pocdomain.local
  type: kerberos
  realm-name: POCDOMAIN.LOCAL
  domain-name: pocdomain.local
  configured: kerberos-member
  server-software: active-directory
  client-software: winbind
  required-package: oddjob-mkhomedir
  required-package: oddjob
  required-package: samba-winbind-clients
  required-package: samba-winbind
  required-package: samba-common-tools
  login-formats: POCDOMAIN\%U
  login-policy: allow-any-login
        [root@rhelad01 ~]# wbinfo --all-domains
        BUILTIN
        RHELAD01
        POCDOMAIN

Si vous ne souhaitez pas utiliser les chiffrements RC4 obsolètes, vous pouvez activer le type de chiffrement AES dans Active Directory.

Répétez les étapes précédentes sur tous les noeuds de cluster pour vous assurer qu'ils sont tous ajoutés au domaine Active Directory.

Fournir des droits utilisateur root aux utilisateurs Active Directory

Pour accorder des droits d'utilisateur root aux utilisateurs Active Directory du domaine POCDOMAIN.LOCAL sur une machine Linux®, procédez comme suit:

  1. Ouvrez un terminal ou connectez-vous à la machine Linux®.

  2. Editez le fichier sudoers à l'aide de la commande visudo :

    sudo visudo

  3. Localisez la section dans le fichier sudoers qui configure les privilèges utilisateur:

    # Allow root to run any commands anywhere root ALL=(ALL) ALL

  4. Ajoutez la ligne suivante après l'entrée de superutilisateur pour permettre aux utilisateurs Active Directory du groupe POCDOMAIN\Domain Admins d'exécuter des commandes avec des privilèges de superutilisateur: %POCDOMAIN\\Domain\ Admins ALL=(ALL) ALL

    Cette ligne accorde des privilèges d'utilisateur root à tous les utilisateurs Active Directory du groupe POCDOMAIN\Domain Admins. Les doubles barres obliques inversées ("") sont utilisés pour échapper les caractères spéciaux.

  5. Sauvegardez les modifications apportées au fichier sudoers et quittez l'éditeur.

  6. Les utilisateurs Active Directory qui sont membres du groupe POCDOMAIN\Domain Admins peuvent désormais exécuter des commandes avec des privilèges de superutilisateur à l'aide de la sudo command. Exemple :

    sudo command_to_execute_as_root

    Lorsque vous y êtes invité, l'utilisateur Active Directory doit entrer son propre mot de passe pour s'authentifier et exécuter la commande avec des privilèges élevés.

Soyez prudent lorsque vous accordez des droits d'utilisateur root à des utilisateurs Active Directory. Il est important d'accorder ces privilèges uniquement aux personnes de confiance qui en ont besoin pour des tâches spécifiques. Dans ce cas d'utilisation, les privilèges de superutilisateur sont octroyés à l'administrateur de domaine Active Directory qui détient le privilège le plus élevé dans l'environnement Active Directory. L'examen régulier des privilèges utilisateur et le respect des meilleures pratiques en matière de sécurité permettent de maintenir un environnement système sécurisé.

Configurer le cluster LSF

Après avoir configuré l'authentification du client Active Directory, vous devez configurer le cluster LSF pour ajouter des groupes d'utilisateurs de Active Directory:

  1. Connectez-vous en tant qu'administrateur LSF à n'importe quel hôte du cluster.

  2. Ouvrez lsb.users (/etc/opt/ibm/lsf/conf/lsbatch/HPCCLUSTER/comfigdir).

  3. Editez la section "UserGroup". L'exemple suivant illustre la section "UserGroup" de lsb.users; toutefois, si vous voyez une autre section "UserGroup", vous pouvez en créer une nouvelle avec les valeurs de cet exemple, qui provient du serveur de cluster LSF:

    [root@ icgen2host-10-240-0-32 configdir]# cat lsb.users
  # $Revision$Date$

  # After editing this file, run "badmin reconfig" to apply your changes.

  # User groups can be referenced by the lsb.hosts and lsb.queues files.

  # All the example definitions here are commented out


  # User group for lsf cluster administration
  Begin UserGroup
  GROUP_NAME       PRIORITY       GROUPMEMBER             GROUP_ADMIN
  LSF-group       100       (lsfuser01 lsfuser05)          (lsfuser01)
  #groupA            200       (user1 user2 user3 user4)    (user5)
  #groupB            100           (groupA user5)               (groupA)
  #groupC             50            (!)                          ()
  End UserGroup


  # User group for all LSF administrators
  Begin UserGroup
  GROUP_NAME    GROUP_MEMBER      #USER_SHARES # Key words
  lsfadmins     (lsfadmin )
  Administrators  (lsfuser03)
  #ldapusers   (ldapuser01 ldapuser02)
  End UserGroup

  Note2:
  Define STRICT_UG_CONTROL=Y in lsb.params

  4. Pour activer les administrateurs de groupes d'utilisateurs, spécifiez des utilisateurs ou des groupes d'utilisateurs dans la colonne GROUP_ADMIN, séparez les utilisateurs et les groupes d'utilisateurs par des espaces et placez chaque entrée GROUP_ADMIN entre crochets.

  5. Sauvegardez vos modifications.

  6. Exécutez badmin ckconfig pour vérifier la nouvelle définition de groupe d'utilisateurs. Si des erreurs sont signalées, corrigez le problème et vérifiez à nouveau la configuration.

  7. Exécutez badmin reconfig pour reconfigurer le cluster.

Gestion du cluster LSF

  1. Connectez-vous avec l'utilisateur Active Directory POCDOMAIN\lsfuser01, puis effectuez les tâches de cluster LSF mentionnées dans l'exemple suivant:

    [POCDOMAIN\lsfuser01@icgen2host-10-240-0-32 ~]$ lshosts
HOST_NAME      type    model  cpuf ncpus maxmem maxswp server RESOURCES
icgen2host-  X86_64 Intel_E5  12.5     4  15.4G      -    Yes (mg)
icgen2host-  X86_64 Intel_E5  12.5     4  15.4G      -    Yes (mg)
icgen2host-  X86_64 Intel_E5  12.5     4  15.4G      -    Dyn ()

[POCDOMAIN\lsfuser01@icgen2host-10-240-0-32 ~]$ lsload
HOST_NAME       status  r15s   r1m  r15m   ut    pg  ls    it   tmp   swp   mem
icgen2host-10-2     ok   0.0   0.0   0.0   1%   0.0   1     1   63G    0M 14.8G
icgen2host-10-2     ok   0.0   0.0   0.0   0%   0.0   0 12818   76G    0M 14.8G
icgen2host-10-2     ok   0.1   0.1   0.0   1%   0.0   0 12820   76G    0M 14.6G

[POCDOMAIN\lsfuser01@icgen2host-10-240-0-32 root]$ lshosts
HOST_NAME      type    model  cpuf ncpus maxmem maxswp server RESOURCES
icgen2host-  X86_64 Intel_E5  12.5     4  15.4G      -    Yes (mg)
icgen2host-  X86_64 Intel_E5  12.5     4  15.4G      -    Yes (mg)
icgen2host-  X86_64 Intel_E5  12.5     4  15.4G      -    Dyn ()
icgen2host-  X86_64 Intel_E5  12.5     -      -      -    Dyn (icgen2host)
icgen2host-  X86_64 Intel_E5  12.5     -      -      -    Dyn (icgen2host)
icgen2host-  X86_64 Intel_E5  12.5     -      -      -    Dyn (icgen2host)
icgen2host-  X86_64 Intel_E5  12.5     -      -      -    Dyn (icgen2host)
[POCDOMAIN\lsfuser01@icgen2host-10-240-0-32 root]$ bjobs
No unfinished job found

[POCDOMAIN\lsfuser01@icgen2host-10-240-0-32 root]$ lsid
IBM Spectrum LSF Standard 10.1.0.13, Jan 04 2023
Copyright International Business Machines Corp. 1992, 2016.
US Government Users Restricted Rights - Use, duplication or disclosure restricted by GSA ADP Schedule Contract with IBM Corp.

My cluster name is HPCCluster
My master name is icgen2host-10-240-0-35