Elastic High Performance Computing：E-HPC叢集與Windows AD域使用者帳號互連

背景資訊

本教程適用於首次配置帳號互連，以及當Windows AD域的使用者體系發生變化（如新增或刪除使用者）的情境。

使用限制

目前僅支援AD網域名稱尾碼為.com的AD域。

部署AD域並開啟SSL服務

如果您已經在Windows伺服器上完成了AD域的部署且開啟了SSL服務，可以跳過本節。本節以作業系統為Windows Server 2016的ECS執行個體為例，介紹如何部署AD域並開啟SSL服務。

1. 建立一台ECS執行個體。具體操作，請參見使用嚮導建立執行個體。

   需要注意的配置資訊如下：

   • 鏡像：Windows Server 2012 R2 資料中心版64位

   • 主機名稱：預設自動產生，建議自訂便於記憶。本文使用example作為樣本。

2. 在ECS執行個體所屬安全性群組中添加入方向規則，允許存取636連接埠。具體操作，請參見添加安全性群組規則。

   入方向規則配置資訊如下：

   • 授權策略：允許

   • 優先順序：按需配置

   • 協議類型：自訂TCP

   • 連接埠範圍：636/636

   • 授權對象：ECS執行個體所屬交換器的IPv4網段。

3. 登入ECS執行個體。具體操作，請參見通過密碼或密鑰認證登入Windows執行個體。

4. 在Windows案頭的工作列單擊表徵圖，開啟伺服器管理員。

5. 安裝AD域。

   1. 在伺服器管理員對話方塊，單擊添加角色和功能。

   2. 在添加角色和功能嚮導對話方塊中，按照嚮導完成AD域安裝。

      需要注意的配置頁如下，未提及的配置頁保持預設配置即可。

      • 在伺服器角色頁簽，選中Active Directory 網域服務。

        

      • 在確認頁簽，選中如果需要，自動重新啟動目標伺服器，單擊安裝(I)。

        

      • 在結束頁簽，等待AD域安裝完成後，單擊將此伺服器提升為網域控制站。

        

6. 在Active Directory 網域服務設定精靈對話方塊中，按照嚮導完成AD域部署。|

   需要注意的配置頁如下，未提及的配置頁保持預設配置即可。

   • 在部署配置頁簽，選擇添加新林(F)，然後輸入欄位名（請使用.com作為網域名稱尾碼），本文使用example.com作為樣本。

     

   • 在網域控制站選項頁簽，輸入密碼。

     

   • 在先決條件檢查頁簽，等待檢查通過，單擊安裝(I)。

     

     說明

     • 如果檢查不通過，請根據提示資訊排查原因。

     • 啟動安裝後，系統會自動部署AD域，完成後ECS執行個體將自動重啟。

7. 等待ECS執行個體重啟完成後，重新串連ECS執行個體。

8. 開啟伺服器管理員，然後單擊添加角色和功能。安裝Active Directory 認證服務。

   需要注意的配置頁如下，未提及的配置頁保持預設配置即可。

   • 在伺服器角色頁簽，選中Active Directory 認證服務。

     

   • 在角色服務頁簽，選中憑證授權單位。

     

   • 在確認頁簽，選中如果需要，自動重新啟動目標伺服器，單擊安裝(I)。

     

   • 在結束頁簽，等待AD認證安裝完成後，單擊配置目標伺服器上的Active Directory認證服務。

     

9. 在AD CS配置對話方塊完成認證相關配置。

   需要注意的配置頁如下，未提及的配置頁保持預設配置即可。

   • 在角色服務頁簽，選中憑證授權單位。

   • 在設定類型頁簽，選中企業 CA(E)。

   • 在CA類型頁簽，選中根 CA(R)。

   • 在私密金鑰頁簽，選中建立新的私密金鑰(R)。

   預期結果如下：

   

10. 重啟ECS執行個體，建立AD使用者，並確認認證。

    1. 開啟伺服器管理員。

    2. 建立AD使用者。

       本文建立一個名稱為test的普通使用者作為樣本，用於後續測試組態帳號互連後，能否自動從AD域同步處理的使用者資訊至叢集。

       1. 在伺服器管理員的右上方選擇工具>Active Directory使用者和電腦。

       2. 在彈出的對話方塊中，按右鍵User，選擇建立(N)>使用者。

          

       3. 完成使用者資訊配置。

    3. 確認認證。

       1. 在伺服器管理員的右上方選擇工具>憑證授權單位。

       2. 在頒發的認證頁簽，查看認證。

          

11. 測試AD域的LDAP協議是否生效。

    1. 按右鍵開始菜單，選擇運行(R)。

    2. 在運行對話方塊中輸入ldp.exe，然後在開啟的Ldp視窗的導覽列，選擇串連(C) > 串連(C)。

    3. 在串連對話方塊，輸入伺服器名稱以及連接埠號碼389，然後單擊確定(O)。

       

       伺服器名稱需要輸入電腦全名，串連後顯示類似如下資訊，表示串連正常。

       

    4. 開啟一個新的Ldp視窗，並在導覽列選擇串連(C) > 串連(C)。

    5. 在串連對話方塊，輸入伺服器名稱以及連接埠號碼636，同時選中SSL(L)，然後單擊確定(O)。

       

       伺服器名稱需要輸入電腦全名，串連後顯示類似如下資訊，表示串連正常。

       

配置Windows AD域與叢集LDAP使用者帳號互連

1. 登入AD網域服務器，擷取相關資訊並產生認證。

   1. 登入AD網域服務器。

   2. 擷取AD網域服務器的電腦全名和IP地址。

      • 電腦全名：可查看伺服器的系統屬性擷取。

      • IP地址：可在CMD命令列中執行ipconfig命令擷取。

   3. 開啟CMD命令列，執行certutil -ca.cert client.crt命令，產生認證。

      說明

      認證檔案預設儲存在C:\Users\Administrator目錄下。

      

2. 建立域賬戶類型為LDAP的叢集。具體操作，請參見使用嚮導建立叢集。

   建立叢集時，在軟體配置頁面，域帳號服務選擇ldap，本地叢集網域名稱填寫AD域的網域名稱稱（只填寫首碼，無需填寫網域名稱全稱，例如AD網域名稱為example.com，則此處只需填寫example）。

   

3. 登入叢集。具體操作，請參見登入叢集。

4. 登入賬戶管理節點。

   • 如果叢集的部署方式是標準，可執行ssh account切換到賬戶管理節點。

   • 如果叢集的部署方式是精簡，則登入節點即為賬戶管理節點，無需進行切換。

5. 從AD網域服務器下載認證，並上傳到叢集賬戶管理節點的某個目錄下。

   說明

   您可以使用WinSCP工具進行檔案傳輸。

6. 在賬戶管理節點，執行以下命令配置AD域與叢集LDAP使用者帳號互連。

   1. 配置AD域與叢集互連。

      /usr/local/ehpc/bin/ehpcutil account connectad --ad_hostname <AD網域服務器的電腦全名> --ad_ip <AD網域服務器的IP> --ad_passwd <AD網域服務器的密碼>

      請根據實際替換命令參數，樣本命令如下：

      /usr/local/ehpc/bin/ehpcutil account connectad --ad_hostname ***.example.com --ad_ip 47.106.XX.XX --ad_passwd ehpc***

      返回以下資訊表示配置成功。

      

   2. 在叢集中匯入認證。

      /usr/local/ehpc/bin/ehpcutil account importcert --filename <認證存放路徑> --ad_passwd <AD網域服務器的密碼>

      請根據實際替換命令參數，樣本命令如下：

      /usr/local/ehpc/bin/ehpcutil_py account importcert --filename /root/client.crt --ad_passwd ehpc***

      返回以下資訊表示配置成功。

      

   3. 執行如下命令，實現賬戶同步。

      /usr/local/ehpc/bin/ehpcutil account syncad

      返回以下資訊表示配置成功。

      

7. 在彈性高效能運算控制台的使用者頁面，確認是否已從AD域同步處理的使用者資訊至叢集。

   如果已自動建立與AD域中使用者同名的叢集使用者，則表示同步成功。