配置E-HPC集群与Windows AD域用户账号互通
您可以将线下AD域用户体系与云上E-HPC的集群LDAP用户账号建立互通,使用一套用户体系来减少用户账号的管理和维护成本。本文为您介绍配置域账户类型为LDAP的集群与Windows AD域建立互通的具体操作,从而实现AD域账号密码同步至集群的效果。
背景信息
本教程适用于首次配置账号互通,以及当Windows AD域的用户体系发生变化(如新增或删除用户)的场景。
请确保集群账户管理节点与Windows AD域机器网络互通。
安装AD域并开启SSL服务
如果您已经在Windows机器上完成了AD域安装并开启了SSL服务,可以跳过本节,直接执行配置Windows AD域与LDAP用户账号互通。
如果您的Windows AD域机器为云服务器ECS,需要先在网络安全组添加入方向636端口。具体操作,请参见添加安全组规则。
请在访问规则的入方向页签下,手动添加636端口,配置信息如下:
配置项
参数值
授权策略
允许
优先级
1
协议类型
自定义 TCP
端口范围
636/636
授权对象
ECS实例所处交换机的IPv4网段,例如192.0.0.0/24。
描述
端口描述信息,例如Windows AD域端口。
在Windows桌面左下角单击
,然后在Windows Server区域,单击服务器管理器。说明用于安装AD域的本地机器或云服务器的操作系统,仅支持Windows Server 2012/2016/2019。
在服务器管理器对话框,单击添加角色和功能。
在添加角色和功能向导对话框的开始之前页面,单击下一步(N)。
在选择安装类型页面,选中基于角色或基于功能的安装,然后单击下一步(N)。
在选择目标服务器页面,选中从服务器池中选择服务器,然后选中服务器池中的本地服务器,单击下一步(N)。
安装Active Directory域服务角色。
在选择服务器角色页面,选中Active Directory 域服务,在弹出的添加Active Directory域服务所需的功能对话框,单击添加功能,然后单击下一步(N)。
在选择功能页面,保持默认选项,单击下一步(N)。
在Active Directory域服务页面,单击下一步(N)。
在确认安装所选内容页面选中如果需要,自动重新启动目标服务器,单击安装(I)。然后在弹出的对话框单击是(Y)。
Active Directory域服务角色安装完成后,单击将此服务器提升为域控制器,在弹出的Active Directory 域服务配置向导对话框完成相关配置,部署Active Directory域服务。
在Active Directory 域服务配置向导对话框的部署配置页面,选择添加新林(F),输入根域名(R),然后单击下一步(N)。
在域控制器选项页面,设置域密码,然后单击下一步(N)。
在DNS选项页面,保持默认配置,单击下一步(N)。
在其它选项页面,保持默认配置,单击下一步(N)。
在路径页面,保持默认配置,单击下一步(N)。
在查看选项页面,保持默认配置,单击下一步(N)。
在先决条件检查页面,等待检查通过,单击安装(I)。
说明如果不通过,请根据提示信息排查原因。
启动安装后,系统自动部署,完成后服务器将自动重启。
AD域控制器部署完成后,重新打开服务器管理器,安装Active Directory 证书服务。
在选择服务器角色页面,选中Active Directory 证书服务,在弹出的对话框中,单击添加功能,然后单击下一步(N)。
在选择功能页面,保持默认选项,单击下一步(N)。
在Active Directory 证书服务页面,保持默认选项,单击下一步(N)。
在选择角色服务页面的角色服务区域,选中证书颁发机构,单击下一步(N)。
在确认安装所选内容页面,选中如果需要,自动重新启动目标服务器,在弹出的对话框单击是(Y),然后单击安装(I)。
Active Directory证书安装完成后,单击配置目标服务器上的Active Directory证书服务,在弹出的AD CS配置对话框完成相关配置。
在凭据页面,保持默认选项,单击下一步(N)。
在角色服务页面,选中证书颁发机构,单击下一步(N)。
在设置类型页面,选中企业 CA(E),然后单击下一步(N)。
在CA类型页面,选中根 CA(R),然后单击下一步(N)。
在私钥页面,选中创建新的私钥(R),然后单击下一步(N)。
在CA 的加密页面,保持默认选项,单击下一步(N)。
在CA 名称页面,保持默认选项,单击下一步(N)。
在有效期页面,保持默认选项,单击下一步(N)。
在CA 数据库页面,保持默认选项,单击下一步(N)。
在确认页面,单击配置,配置成功后,单击关闭。
重启服务器,在证书颁发机构中即可查看给域控制器颁发的证书。
测试Windows AD域的LDAP协议是否生效。
右键单击开始菜单,选择运行(R)。
在运行对话框中输入
ldp.exe,然后在打开的Ldp窗口的导航栏,选择连接(C) > 连接(C)。在连接对话框,输入服务器名称以及端口号389,然后单击确定(O)。
连接后显示类似如下信息,表示连接正常。
再次打开Ldp窗口,并在导航栏选择连接(C) > 连接(C)。
在连接对话框,输入服务器名称以及端口号636,同时选中SSL(L),然后单击确定(O)。
连接后显示类似如下信息,表示连接正常。
配置Windows AD域与LDAP用户账号互通
您需要提前准备Windows AD域机器的以下信息:
IP地址:xxx.xxx.xxx.xxx,例如172.16.0.47。
主机名:xxxx.xxxx.xxxx,例如TED-ECS-WIN001.ted.com。
Windows AD域密码。
具体配置操作如下:
导出证书。
登录已安装了Windows AD域的机器。
打开命令行,输入
certutil -ca.cert client.crt命令,生成证书。说明证书文件位于C:\Users\Administrator目录下。
将生成的证书client.crt从AD服务器下载并上传至集群账户管理节点某个目录下,例如/root/。
说明您可以通过WinSCP工具进行文件传输。
创建域账户类型为LDAP的集群。具体操作,请参见使用向导创建集群。
您需要在创建时,将域账号服务设置为ldap,然后填入本地集群域名,该域名与Windows AD域的域名称相同。例如Windows主机名为TED-ECS-WIN001.ted.com,则本地集群域名为ted。
创建完成后,登录集群。具体操作,请参见登录集群。
执行如下命令,登录账户管理节点。
ssh account执行如下命令,配置Windows AD域与集群互通。
/usr/local/ehpc/bin/ehpcutil_py account connected --ad_hostname xxxx.xxxx.xxxx --ad_ip xxx.xxx.xxx.xxx --ad_passwd xxxxxx部分参数说明如下:
--ad_hostname:Windows AD域主机名。--ad_ip:Windows AD域IP。--ad_passwd:Windows AD域密码。
示例命令如下:
/usr/local/ehpc/bin/ehpcutil_py account connected --ad_hostname TED-ECS-WIN001.ted.com --ad_ip 172.16.0.47 --ad_passwd Alihpc123执行如下命令,在集群中导入从Windows AD域机器导出的证书。
/usr/local/ehpc/bin/ehpcutil_py account importcert --filename /root/client.crt --ad_passwd xxxxxx部分参数说明如下:
--filename:证书存放位置。--ad_passwd:Windows AD域密码。示例命令如下:
/usr/local/ehpc/bin/ehpcutil_py account importcert --filename /root/client.crt --ad_passwd Alihpc123执行如下命令,实现账户同步。
/usr/local/ehpc/bin/ehpcutil_py account syncad