文档

配置E-HPC集群与Windows AD域用户账号互通

更新时间:

您可以将AD域用户体系与云上E-HPC的集群LDAP用户账号建立互通,使用一套用户体系来减少用户账号的管理和维护成本。本文为您介绍配置域账户类型为LDAP的集群与Windows AD域建立互通的具体操作,从而实现AD域账号密码同步至集群的效果。

背景信息

本教程适用于首次配置账号互通,以及当Windows AD域的用户体系发生变化(如新增或删除用户)的场景。

使用限制

目前仅支持AD域名后缀为.com的AD域。

部署AD域并开启SSL服务

如果您已经在Windows服务器上完成了AD域的部署且开启了SSL服务,可以跳过本节。本节以操作系统为Windows Server 2016的ECS实例为例,介绍如何部署AD域并开启SSL服务。

说明

用于安装AD域的服务器的操作系统仅支持Windows Server 2012、2016或2019。

  1. 创建一台ECS实例。具体操作,请参见使用向导创建实例

    需要注意的配置信息如下:

    • 镜像:Windows Server 2012 R2 数据中心版64位

    • 主机名:默认自动生成,建议自定义便于记忆。本文使用example作为示例。

  2. 在ECS实例所属安全组中添加入方向规则,放行636端口。具体操作,请参见添加安全组规则

    入方向规则配置信息如下:

    • 授权策略:允许

    • 优先级:按需配置

    • 协议类型:自定义TCP

    • 端口范围:636/636

    • 授权对象:ECS实例所属交换机的IPv4网段。

  3. 登录ECS实例。具体操作,请参见通过密码或密钥认证登录Windows实例

  4. 在Windows桌面的任务栏单击AD-图标..png图标,打开服务器管理器。

  5. 安装AD域。

    1. 服务器管理器对话框,单击添加角色和功能

    2. 添加角色和功能向导对话框中,按照向导完成AD域安装。

      需要注意的配置页如下,未提及的配置页保持默认配置即可。

      • 服务器角色页签,选中Active Directory 域服务

        AD-1..png
      • 确认页签,选中如果需要,自动重新启动目标服务器,单击安装(I)

        AD-2..png
      • 结束页签,等待AD域安装完成后,单击将此服务器提升为域控制器

        AD-3..png
  6. Active Directory 域服务配置向导对话框中,按照向导完成AD域部署。|

    需要注意的配置页如下,未提及的配置页保持默认配置即可。

    • 部署配置页签,选择添加新林(F),然后输入域名(请使用.com作为域名后缀),本文使用example.com作为示例。

      AD-4..png
    • 域控制器选项页签,输入密码。

      AD-5..png
    • 先决条件检查页签,等待检查通过,单击安装(I)

      AD-6..png
      说明
      • 如果检查不通过,请根据提示信息排查原因。

      • 启动安装后,系统会自动部署AD域,完成后ECS实例将自动重启。

  7. 等待ECS实例重启完成后,重新连接ECS实例。

  8. 打开服务器管理器,然后单击添加角色和功能。安装Active Directory 证书服务。

    需要注意的配置页如下,未提及的配置页保持默认配置即可。

    • 服务器角色页签,选中Active Directory 证书服务

      AD-7..png
    • 角色服务页签,选中证书颁发机构

      AD-8..png
    • 确认页签,选中如果需要,自动重新启动目标服务器,单击安装(I)

      AD-9..png
    • 结束页签,等待AD证书安装完成后,单击配置目标服务器上的Active Directory证书服务

      AD-10..png
  9. AD CS配置对话框完成证书相关配置。

    需要注意的配置页如下,未提及的配置页保持默认配置即可。

    • 角色服务页签,选中证书颁发机构

    • 设置类型页签,选中企业 CA(E)

    • CA类型页签,选中根 CA(R)

    • 私钥页签,选中创建新的私钥(R)

    预期结果如下:

    AD-11..png
  10. 重启ECS实例,创建AD用户,并确认证书。

    1. 打开服务器管理器。

    2. 创建AD用户。

      本文创建一个名称为test的普通用户作为示例,用于后续测试配置账号互通后,能否自动从AD域同步用户信息至集群。

      1. 服务器管理器的右上角选择工具>Active Directory用户和计算机

      2. 在弹出的对话框中,右键单击User,选择新建(N)>用户

        AD-新建用户..png
      3. 完成用户信息配置。

    3. 确认证书。

      1. 服务器管理器的右上角选择工具>证书颁发机构

      2. 颁发的证书页签,查看证书。

        AD-证书..png
  11. 测试AD域的LDAP协议是否生效。

    1. 右键单击开始菜单,选择运行(R)

    2. 运行对话框中输入ldp.exe,然后在打开的Ldp窗口的导航栏,选择连接(C) > 连接(C)

    3. 连接对话框,输入服务器名称以及端口号389,然后单击确定(O)

      AD-连接1..png

      服务器名称需要输入计算机全名,连接后显示类似如下信息,表示连接正常。

      AD-连接1-1..png
    4. 打开一个新的Ldp窗口,并在导航栏选择连接(C) > 连接(C)

    5. 连接对话框,输入服务器名称以及端口号636,同时选中SSL(L),然后单击确定(O)

      AD-连接2..png

      服务器名称需要输入计算机全名,连接后显示类似如下信息,表示连接正常。

      AD-连接2-1..png

配置Windows AD域与集群LDAP用户账号互通

  1. 登录AD域服务器,获取相关信息并生成证书。

    1. 登录AD域服务器。

    2. 获取AD域服务器的计算机全名和IP地址。

      • 计算机全名:可查看服务器的系统属性获取。

      • IP地址:可在CMD命令行中执行ipconfig命令获取。

    3. 打开CMD命令行,执行certutil -ca.cert client.crt命令,生成证书。

      说明

      证书文件默认保存在C:\Users\Administrator目录下。

      AD-生成证书..png
  2. 创建域账户类型为LDAP的集群。具体操作,请参见使用向导创建集群

    创建集群时,在软件配置页面,域账号服务选择ldap本地集群域名填写AD域的域名称(只填写前缀,无需填写域名全称,例如AD域名为example.com,则此处只需填写example)。

    AD-创建集群..png
  3. 登录集群。具体操作,请参见登录集群

  4. 登录账户管理节点。

    • 如果集群的部署方式是标准,可执行ssh account切换到账户管理节点。

    • 如果集群的部署方式是精简,则登录节点即为账户管理节点,无需进行切换。

  5. 从AD域服务器下载证书,并上传到集群账户管理节点的某个目录下。

    说明

    您可以使用WinSCP工具进行文件传输。

  6. 在账户管理节点,执行以下命令配置AD域与集群LDAP用户账号互通。

    1. 配置AD域与集群互通。

      /usr/local/ehpc/bin/ehpcutil account connectad --ad_hostname <AD域服务器的计算机全名> --ad_ip <AD域服务器的IP> --ad_passwd <AD域服务器的密码>

      请根据实际替换命令参数,示例命令如下:

      /usr/local/ehpc/bin/ehpcutil account connectad --ad_hostname ***.example.com --ad_ip 47.106.XX.XX --ad_passwd ehpc***

      返回以下信息表示配置成功。

      AD-集群1..png
    2. 在集群中导入证书。

      /usr/local/ehpc/bin/ehpcutil account importcert --filename <证书存放路径> --ad_passwd <AD域服务器的密码>

      请根据实际替换命令参数,示例命令如下:

      /usr/local/ehpc/bin/ehpcutil_py account importcert --filename /root/client.crt --ad_passwd ehpc***

      返回以下信息表示配置成功。

      AD-集群2..png
    3. 执行如下命令,实现账户同步。

      /usr/local/ehpc/bin/ehpcutil account syncad

      返回以下信息表示配置成功。

      AD-集群3..png
  7. 弹性高性能计算控制台用户页面,确认是否已从AD域同步用户信息至集群。

    如果已自动创建与AD域中用户同名的集群用户,则表示同步成功。

  • 本页导读 (1)
文档反馈