将 OpenLDAP 与 IBM Spectrum LSF 集成
IBM Spectrum LSF 是一个工作负载管理平台,提供强大的资源管理功能来优化应用程序性能和最大限度提高资源使用率。 OpenLDAP 是轻量级目录访问协议 (LDAP) 的开放式源代码实现,提供集中式认证和目录服务。
通过遵循本教程中概述的步骤,您可以将 OpenLDAP 与 IBM Spectrum LSF集成,这使您能够使用现有 LDAP 基础结构进行认证,从而使用户能够更安全,更简化地访问 IBM Spectrum LSF。
本教程仅涵盖在 Linux® 系统 (RHEL 7.9 作为主机) 上配置 OpenLDAP 服务器。
设计注意事项
将 OpenLDAP 与 IBM Spectrum LSF 集成涉及修改 LSF 配置文件和 OpenLDAP 服务器配置文件。 此集成的设计注意事项包括:
- IBM Spectrum LSF 使用可插入认证模块 (PAM) 框架进行认证。
- IBM Spectrum LSF 的 PAM 配置位于
/etc/pam.d/lsf文件中。 - OpenLDAP 使用称为专有名称 (DN) 的分层命名结构来标识目录中的条目。
- OpenLDAP 配置文件位于
/etc/openldap/slapd.conf或/etc/openldap/slapd.d/中。 - 必须将 OpenLDAP 服务器配置为通过安全连接 (LDAPS) 使用 LDAP 协议进行认证。
准备工作
开始之前,请确保查看以下先决条件:
常规先决条件
- 已安装并配置 IBM Spectrum LSF V 10.1 或更高版本。
- 已安装并配置 OpenLDAP V 2.4 或更高版本。
- 可从 IBM Spectrum LSF 集群节点访问 OpenLDAP 服务器。
ldapsearch命令行工具安装在每个 IBM Spectrum LSF 集群节点上。pam_ldap和nss_ldapLDAP 客户机库安装在每个 IBM Spectrum LSF 集群节点上。
网络先决条件
要成功将 OpenLDAP 与 Spectrum LSF 集群节点集成,必须满足以下网络需求:
- ** OpenLDAP 服务器与 Spectrum LSF 集群节点之间的网络连接**: 确保 OpenLDAP 服务器可以通过网络与 Spectrum LSF 集群节点进行通信。 这可以通过在 OpenLDAP 服务器和 Spectrum LSF 集群节点上配置网络设置来实现。
- 端口需求: OpenLDAP 服务器和 Spectrum LSF 集群节点必须能够通过特定端口进行通信。 缺省情况下, OpenLDAP 将端口 389 用于未加密通信,将端口 636 用于加密通信。
- 防火墙配置: 如果网络中存在防火墙,请确保打开必要的端口以在 OpenLDAP 服务器与 Spectrum LSF 集群节点之间进行通信。
- DNS 配置: 确保 Spectrum LSF 集群节点可以解析 OpenLDAP 服务器的主机名或 IP 地址。 如果 DNS 解析不可用,请在每个节点上配置
/etc/hosts文件以包含 OpenLDAP 服务器的主机名和 IP 地址。
步骤 1: 配置 OpenLDAP 服务器
确保您有权访问具有 root 用户特权的 Linux® 系统。
-
通过运行以下命令来安装 OpenLDAP 服务器和客户机软件包:
yum -y install openldap-servers openldap-clients -
将
DB_CONFIG.example文件复制到/var/lib/ldap目录,并通过运行以下命令将其所有权更改为ldap用户:cp /usr/share/openldap-servers/DB_CONFIG.example/var/lib/ldap/DB_CONFIG chown ldap. /var/lib/ldap/DB_CONFIG -
通过运行以下命令,启动
slapd服务并使其能够在引导时自动启动:systemctl start slapdsystemctl enable slapd -
通过运行
slappasswd命令来生成管理密码。 系统会提示您输入密码。 例如:slappasswd您会看到类似于以下内容的输出:
示例输出:
{SSHA}FUMV8TZ9lZQxABxCBE5UZ+oU/dlwf/d4请注意稍后生成的密码散列 (在本例中为
{SSHA}FUMV8TZ9lZQxABxCBE5UZ+oU/dlwf/d4))。 -
创建名为
chrootpw.ldif的文件,并向其添加以下行:dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootPW olcRootPW: {SSHA}FUMV8TZ9lZQxABxCBE5UZ+oU/dlwf/d4将
olcRootPW值替换为您在上一步中生成的密码散列。 -
通过运行以下命令来导入基本模式:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif -
通过再次运行
slappasswd命令来生成管理器密码。slappasswd您会看到类似于以下内容的输出:
示例输出:
{SSHA}TVW9z6WLIBC3EXtFHFWnb2EVlK7EZQ3b请注意稍后生成的密码散列 (在本例中为
{SSHA}TVW9z6WLIBC3EXtFHFWnb2EVlK7EZQ3b)。 -
通过创建名为
chdomain.ldif的文件并向其添加以下行,添加管理器密码并启用管理器帐户:# DC should be your domain # specify the password generated above for "olcRootPW" section dn: olcDatabase={1}monitor,cn=config changetype: modify replace: olcAccess olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=ibmlsf,dc=com" read by * none dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcSuffix olcSuffix: dc=ibmlsf,dc=com dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcRootDN olcRootDN: cn=Manager,dc=ibmlsf,dc=com dn: olcDatabase={2}hdb,cn=config changetype: modify add: olcRootPW olcRootPW: {SSHA}TVW9z6WLIBC3EXtFHFWnb2EVlK7EZQ3b dn: olcDatabase={2}hdb,cn=config changetype: modify add: olcAccess olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=Manager,dc=ibmlsf,dc=com" write by anonymous auth by self write by * none olcAccess: {1}to dn.base="" by * read olcAccess: {2}to * by dn="cn=Manager,dc=ibmlsf,dc=com" write by * read显示更多将 {SSHA} 值替换为您在上一步中生成的密码散列。
-
通过运行以下命令来应用更改:
ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif -
创建名为
basedomain.ldif的文件,并向其添加以下行:
dn: dc=ibmlsf,dc=com objectClass: top objectClass: dcObject objectclass: organization o: WES Migration dc: ibmlsf dn: cn=Manager,dc=ibmlsf,dc=com objectClass: organizationalRole cn: Manager description: Directory Manager dn: ou=People,dc=ibmlsf,dc=com objectClass: organizationalUnit ou: People dn: ou=Group,dc=ibmlsf,dc=com objectClass: organizationalUnit ou: Group
- 通过运行以下命令来应用上一步中所做的更改:
ldapadd -x -D cn=Manager,dc=ibmlsf,dc=com -W -f basedomain.ldif
- 使用编辑器 (例如 VI) 创建名为
ldapuser.ldif的文件,并向其添加以下行 (在"dc=***,dc=***"部分中替换为您自己的必需域名):
dn: uid=Lsfclusteruser,ou=People,dc=ibmlsf,dc=com objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount cn: Lsfclusteruser sn: Linux userPassword: {SSHA}+A6gC87JU5ugW6qthWL2HGYzsQIdN1EN loginShell: /bin/bash uidNumber: 1003 gidNumber: 1003 homeDirectory: /home/Lsfclusteruser dn: cn=Lsfclusteruser,ou=Group,dc=ibmlsf,dc=com objectClass: posixGroup cn: Lsfclusteruser gidNumber: 1001 memberUid: Lsfclusteruser
将 {SSHA} 值替换为先前生成的密码散列。
- 通过运行以下命令来应用更改:
ldapadd -x -D cn=Manager,dc=ibmlsf,dc=com -W -f ldapuser.ldif
- 要验证是否已按先前步骤中提到的那样创建用户,请使用以下命令:
ldapsearch -x -LLL -b "ou=People,dc=ibmlsf,dc=com" "(objectClass=posixAccount)" uid cn
OpenLDAP 服务器现已配置完毕,可供使用。 通过创建更多 LDIF 文件并使用 ldapadd 命令将这些文件导入到目录中,可以添加更多用户和组。
步骤 2: 在 OLDAP 目录中创建用户组
现在已配置 OpenLDAP 服务器,您需要在 OLDAP 目录中创建用户组,该用户组由应该访问 LSF 集群的用户组成。
-
要创建组,请使用
ldapadd命令将组的 LDIF 条目添加到 LDAP 目录。 例如,要创建名为 "LSFAdministrators" 和 "LSF使用者" 的组,可以创建具有以下内容的 LDIF 文件:# create an organizational unit for groups dn: ou=groups,dc=ibmlsf,dc=com objectClass: organizationalUnit ou: groups # create a group called "LSFadministrators" dn: cn=LSFadministrators,ou=groups,dc=ibmlsf,dc=com objectClass: top objectClass: posixGroup gidNumber: 1001 cn: LSFadministrators description: LSFadministrators group # create a group called "LSFconsumers" dn: cn=LSFconsumers,ou=groups,dc=ibmlsf,dc=com objectClass: top objectClass: posixGroup gidNumber: 1002 cn: LSFconsumers description: LSFconsumers group在此示例中,第一个条目创建名为 "groups" 的组织单元。 接下来的两个条目将创建名为 "LSFAdministrators" 和 "LSF使用者" 的组。
每个组条目指定
objectClass"top" 和 "posixGroup" 以定义组的模式。gidNumber属性指定组的唯一标识,而cn属性指定组的公共名称。 最后,description属性提供组的简要描述。 -
您可以将上一步中的内容保存在具有
.ldif扩展名的文件 (例如groups.ldif) 中,然后使用ldapadd命令将这些组条目添加到 LDAP 目录中。 请参阅以下ldapadd示例命令:ldapadd -x -D cn=Manager,dc=ibmlsf,dc=com -W -f groups.ldif [root@oldapserverlsfcl ~]# ldapsearch -x -D cn=Manager,dc=ibmlsf,dc=com -W -b "ou=groups,dc=ibmlsf,dc=com" "(objectClass=posixGroup)" Enter LDAP Password: # extended LDIF # # LDAPv3 # base
此输出显示在 ou=groups,dc=ibmlsf,dc=com 组织单元中有两个组条目: LSFadministrators 和 LSFconsumers。
稍后,您可以使用 ldapmodify 命令将现有用户添加到这些组。 在先前的 ldapsearch 输出中,两个用户被视为每个组的成员。
步骤 3: 在客户端机器上配置 LDAP 认证
接下来,需要为正在将 RHEL 8 作为操作系统运行的客户端机器配置 LDAP 认证,并将 OLDAP 服务器作为认证提供程序或身份提供者运行。 在这种情况下, OLDAP 客户机是 LSF 集群,因此以下步骤适用于在 RHEL 8 Linux® 机器上运行的 LSF 集群节点。
在以下步骤中,确保将 "dc=***,dc=***" 部分中的域名替换为您自己的域名。
-
请运行以下命令:
yum -y install openldap-clients nss-pam-ldapdyum install authselect sssd oddjob oddjob-mkhomedirauthconfig --enablesssd --enablesssdauth --update -
启用 SSSD 认证概要文件:
authselect select sssd -
将 LDAP 服务器 URL 和基本搜索 DN 添加到
/etc/openldap/ldap.conf文件,如以下示例中所示:URI ldap://ibmlsf.com/BASE dc=ibmlsf,dc=com -
在
/etc/sssd目录中,使用以下内容创建文件sssd.conf:[domain/default] autofs_provider = ldap cache_credentials = True ldap_search_base = dc=ibmlsf,dc=com id_provider = ldap auth_provider = ldap chpass_provider = ldap ldap_uri = ldap://[sssd] services = nss, pam, autofs domains = default [nss] homedir_substring = /home 使用基本 DN 更新
ldap_search_base参数,并使用 LDAP 服务器的 URL 更新ldap_uri。 -
更改
/etc/sssd/sssd.conf文件的许可权:chmod 600 /etc/sssd/sssd.conf -
重新启动并启用 SSSD:
systemctl restart sssd systemctl enable sssd
现在,您已将 SSSD 配置为在 RHEL 8 系统上使用 LDAP 服务器 "ibmlsf.com" 进行用户认证。
步骤 4: 配置 LSF 集群
现在,您已配置 LDAP 客户机认证,需要配置在 LDAP 上托管的 LSF 集群以指向 OLDAP 服务器,这将确保 LSF 集群与 OLDAP 服务器的集成可用于用户管理。
-
备份现有
lsf.conf和lsf.cluster.name文件:cp/etc/lsf.conf /etc/lsf.conf.backup cp/etc/lsf.cluster.name /etc/lsf.cluster.name.backup -
编辑
lsf.conf文件以添加 LDAP 认证设置:AUTHMODE=ldap AUTHLDAPSERVER=AUTHLDAPBASEDN= AUTHLDAPUSER= AUTHLDAPPASS= AUTHLDAPUSERTYPE= AUTHLDAPUSERSEARCH= AUTHLDAPGROUP= AUTHLDAPGROUPSEARCH= 将值替换为您的相关信息。 请参阅下表以获取更多详细信息:
表 1. LDAP 认证设置 值 描述 OpenLDAP 服务器的主机名或 IP 地址 OpenLDAP 目录的基本 DN IBM Spectrum LSF 应该用于绑定到 OpenLDAP 服务器以进行认证的用户的专有名称 绑定用户的密码 OpenLDAP 目录中用户条目的对象类 用户条目的搜索过滤器 组条目的对象类 组条目的搜索过滤器 -
重新启动以下三个服务,以便您在
lsf.conf文件中配置的认证设置可以生效:bctrld restart sbd allbctrld restart res allbctrld restart lim all -
编辑
lsf.cluster.name文件以指定 LDAP 认证域:LSF_CLUSTER_NAME=LSF_LDAP_DOMAIN= 将
授予对 LSF 集群的访问权
要向组授予对 LSF 集群的访问权,需要编辑 LSF 配置文件以将该组包含在相应的访问控制表 (ACL) 中。
特定 LDAP 命令行工具和命令可能有所不同。
-
以 LSF 管理员身份登录到集群中的任何主机。
-
打开
lsb.users(/opt/ibm/lsf/conf/lsbatch/HPCCLUSTER/configdir)。 -
编辑 "UserGroup" 部分。 以下示例显示了
lsb.users的 "UserGroup" 部分; 但是,如果您看到另一个 "UserGroup" 部分,那么可以使用此示例中的值 (取自 LSF 集群服务器) 创建新的部分:[root@icgen2host-172-19-1-69 configdir]# cat lsb.users # $Revision$Date$ # After editing this file, run "badmin reconfig" to apply your changes. # User groups can be referenced by the lsb.hosts and lsb.queues files. # All the example definitions here are commented out # User group for lsf cluster administration Begin UserGroup GROUP_NAME PRIORITY GROUP_MEMBER GROUP_ADMIN lsfamitadmin 100 (user1lsf user2lsf) (user1lsf) #groupA 200 (user1 user2 user3 user4) (user5) #groupB 100 (groupA user5) (groupA) #groupC 50 (!) () End UserGroup # User group for all LSF administrators Begin UserGroup GROUP_NAME GROUP_MEMBER #USER_SHARES # Key words lsfadmins (lsfadmin ) newlsf (lsfuser123) #ldapusers (ldapuser01 ldapuser02) End UserGroup # Perform the following edit in the lsb.params file located in "/opt/ibm/lsf/conf/lsbatch/HPCCLUSTER/configdir" Define STRICT_UG_CONTROL=Y in lsb.params -
要启用用户组管理员,请在
GROUP_ADMIN列中指定用户或用户组,使用空格分隔用户和用户组,并将每个GROUP_ADMIN条目括在方括号中。 -
保存更改。
-
运行
badmin ckconfig以检查新的用户组定义。 如果报告了任何错误,请修正问题并再次检查配置。 -
运行
badmin reconfig以重新配置集群。
管理 LSF 集群
登录后,可以使用 EGO 命令来管理 LSF 集群,例如 egosh resource, egosh job和 egosh host等 (如以下示例中所示)。
要完成以下步骤,您需要使用具有高特权的 LSF 用户帐户。 只有具有高特权的帐户才能将用户添加到 LSF 集群,然后向其分配角色。 但是,如果为新添加的用户分配了 CLUSTER_Admin 角色,那么该用户还可以为随后添加的用户完成以下步骤。
-
要将 OLDAP 服务器中创建的现有用户 "user1lsf" 添加到 LSF 集群,您需要以集群管理员身份登录,然后运行以下命令:
[root@icgen2host-172-19-1-69 ~]# su Lsfadmin bash-4.4$ egosh user logon -u Admin -x Admin Admin@HPCCluster> user add user account: user1lsf password: password(type again, please): User account < user1lsf > added successfully Admin@HPCCluster>@HPCCluster> user logoff Logged off successfully -
通过运行以下命令,使用上一步中添加的用户登录到 LSF 集群:
[root@icgen2host-172-19-1-69 ~]# su user1lsf bash-4.4$ egosh user logon -u user1lsf -x welcome@31! Logged on successfully bash-4.4$ egosh user1lsf@HPCCluster> resource list NAME status mem swp tmp ut it pg r1m r15s r15m ls icgen2h* ok 14G 0M 74G 2% 0 0 0.1 0 0 1 icgen2h* ok 15G 0M 75G 0% 20339 0 0 0.3 0 0 user1lsf@HPCCluster> ego info Cluster name : HPCCluster EGO master host name : icgen2host-172-19-1-69 EGO master version : 3.4 user1lsf@HPCCluster> -
通过运行以下命令向新用户分配角色:
lsfadmin@HPCCluster> user assignrole -u user1lsf -r CONSUMER_USER Roleis assigned to user . lsfadmin@HPCCluster> user list ACCOUNT PHONE EMAIL DESCRIPTION ---------------------------------------------------------------- Admin Guest user2lsf user1lsf smith
结论
现在,您已成功将 OpenLDAP 与 IBM Spectrum LSF 集成,以提供集中式认证和目录服务,这使您能够使用现有 LDAP 基础结构进行认证。 您还启用了对 IBM Spectrum LSF的安全且简化的用户访问权。