您可以将AD域用户体系与云上E-HPC的集群LDAP用户账号建立互通,使用一套用户体系来减少用户账号的管理和维护成本。本文为您介绍配置域账户类型为LDAP的集群与Windows AD域建立互通的具体操作,从而实现AD域账号密码同步至集群的效果。
背景信息
本教程适用于首次配置账号互通,以及当Windows AD域的用户体系发生变化(如新增或删除用户)的场景。
使用限制
目前仅支持AD域名后缀为.com的AD域。
部署AD域并开启SSL服务
如果您已经在Windows服务器上完成了AD域的部署且开启了SSL服务,可以跳过本节。本节以操作系统为Windows Server 2016的ECS实例为例,介绍如何部署AD域并开启SSL服务。
用于安装AD域的服务器的操作系统仅支持Windows Server 2012、2016或2019。
创建一台ECS实例。具体操作,请参见使用向导创建实例。
需要注意的配置信息如下:
镜像:Windows Server 2012 R2 数据中心版64位
主机名:默认自动生成,建议自定义便于记忆。本文使用example作为示例。
在ECS实例所属安全组中添加入方向规则,放行636端口。具体操作,请参见添加安全组规则。
入方向规则配置信息如下:
授权策略:允许
优先级:按需配置
协议类型:自定义TCP
端口范围:636/636
授权对象:ECS实例所属交换机的IPv4网段。
登录ECS实例。具体操作,请参见通过密码或密钥认证登录Windows实例。
在Windows桌面的任务栏单击
图标,打开服务器管理器。安装AD域。
在服务器管理器对话框,单击添加角色和功能。
在添加角色和功能向导对话框中,按照向导完成AD域安装。
需要注意的配置页如下,未提及的配置页保持默认配置即可。
在服务器角色页签,选中Active Directory 域服务。
在确认页签,选中如果需要,自动重新启动目标服务器,单击安装(I)。
在结束页签,等待AD域安装完成后,单击将此服务器提升为域控制器。
在Active Directory 域服务配置向导对话框中,按照向导完成AD域部署。|
需要注意的配置页如下,未提及的配置页保持默认配置即可。
在部署配置页签,选择添加新林(F),然后输入域名(请使用.com作为域名后缀),本文使用example.com作为示例。
在域控制器选项页签,输入密码。
在先决条件检查页签,等待检查通过,单击安装(I)。
说明如果检查不通过,请根据提示信息排查原因。
启动安装后,系统会自动部署AD域,完成后ECS实例将自动重启。
等待ECS实例重启完成后,重新连接ECS实例。
打开服务器管理器,然后单击添加角色和功能。安装Active Directory 证书服务。
需要注意的配置页如下,未提及的配置页保持默认配置即可。
在服务器角色页签,选中Active Directory 证书服务。
在角色服务页签,选中证书颁发机构。
在确认页签,选中如果需要,自动重新启动目标服务器,单击安装(I)。
在结束页签,等待AD证书安装完成后,单击配置目标服务器上的Active Directory证书服务。
在AD CS配置对话框完成证书相关配置。
需要注意的配置页如下,未提及的配置页保持默认配置即可。
在角色服务页签,选中证书颁发机构。
在设置类型页签,选中企业 CA(E)。
在CA类型页签,选中根 CA(R)。
在私钥页签,选中创建新的私钥(R)。
预期结果如下:
重启ECS实例,创建AD用户,并确认证书。
打开服务器管理器。
创建AD用户。
本文创建一个名称为test的普通用户作为示例,用于后续测试配置账号互通后,能否自动从AD域同步用户信息至集群。
在服务器管理器的右上角选择工具>Active Directory用户和计算机。
在弹出的对话框中,右键单击User,选择新建(N)>用户。
完成用户信息配置。
确认证书。
在服务器管理器的右上角选择工具>证书颁发机构。
在颁发的证书页签,查看证书。
测试AD域的LDAP协议是否生效。
右键单击开始菜单,选择运行(R)。
在运行对话框中输入
ldp.exe,然后在打开的Ldp窗口的导航栏,选择连接(C) > 连接(C)。在连接对话框,输入服务器名称以及端口号389,然后单击确定(O)。
服务器名称需要输入计算机全名,连接后显示类似如下信息,表示连接正常。
打开一个新的Ldp窗口,并在导航栏选择连接(C) > 连接(C)。
在连接对话框,输入服务器名称以及端口号636,同时选中SSL(L),然后单击确定(O)。
服务器名称需要输入计算机全名,连接后显示类似如下信息,表示连接正常。
配置Windows AD域与集群LDAP用户账号互通
登录AD域服务器,获取相关信息并生成证书。
登录AD域服务器。
获取AD域服务器的计算机全名和IP地址。
计算机全名:可查看服务器的系统属性获取。
IP地址:可在CMD命令行中执行
ipconfig命令获取。
打开CMD命令行,执行
certutil -ca.cert client.crt命令,生成证书。说明证书文件默认保存在
C:\Users\Administrator目录下。
创建域账户类型为LDAP的集群。具体操作,请参见使用向导创建集群。
创建集群时,在软件配置页面,域账号服务选择ldap,本地集群域名填写AD域的域名称(只填写前缀,无需填写域名全称,例如AD域名为example.com,则此处只需填写example)。
登录集群。具体操作,请参见登录集群。
登录账户管理节点。
如果集群的部署方式是标准,可执行
ssh account切换到账户管理节点。如果集群的部署方式是精简,则登录节点即为账户管理节点,无需进行切换。
从AD域服务器下载证书,并上传到集群账户管理节点的某个目录下。
说明您可以使用WinSCP工具进行文件传输。
在账户管理节点,执行以下命令配置AD域与集群LDAP用户账号互通。
配置AD域与集群互通。
/usr/local/ehpc/bin/ehpcutil account connectad --ad_hostname <AD域服务器的计算机全名> --ad_ip <AD域服务器的IP> --ad_passwd <AD域服务器的密码>请根据实际替换命令参数,示例命令如下:
/usr/local/ehpc/bin/ehpcutil account connectad --ad_hostname ***.example.com --ad_ip 47.106.XX.XX --ad_passwd ehpc***返回以下信息表示配置成功。
在集群中导入证书。
/usr/local/ehpc/bin/ehpcutil account importcert --filename <证书存放路径> --ad_passwd <AD域服务器的密码>请根据实际替换命令参数,示例命令如下:
/usr/local/ehpc/bin/ehpcutil_py account importcert --filename /root/client.crt --ad_passwd ehpc***返回以下信息表示配置成功。
执行如下命令,实现账户同步。
/usr/local/ehpc/bin/ehpcutil account syncad返回以下信息表示配置成功。
在弹性高性能计算控制台的用户页面,确认是否已从AD域同步用户信息至集群。
如果已自动创建与AD域中用户同名的集群用户,则表示同步成功。