플랫폼 인증을 위한 Windows Active Directory 구성

IIAS(Integrated Analytics System) 버전 1.0.6 이상을 실행 중인 경우 Microsoft Windows Active Directory를 통해 인증을 설정하여 Active Directory 사용자가 IIAS 플랫폼에 로그인하도록 할 수 있습니다.

시작하기 전에

어플라이언스에서 Active Directory를 통해 인증을 구성하기 전에 다음 정보를 준비하십시오.
Windows Active Directory 속성
IIAS에 액세스해야 하는 모든 Active Directory 사용자는 Active Directory 서버에 다음 속성을 설정해야 합니다.
  • objectclass: posixAccount
  • uid: username
  • uidNumber: user id number(1000보다 커야 함)
  • gidNumber: group id number
  • loginShell: /bin/bash
  • homeDirectory: /home/username
Active Directory 서버의 호스트 및 포트
예: myadserver.com389
중요사항: 모든 IIAS 노드에서 Active Directory 서버의 호스트에 ping을 실행할 수 있는지 확인하십시오.
Active Directory 서버의 식별 이름/도메인 이름(dn)
예: myadserver.org.com
바인드 사용자 정보
모든 사용자/그룹 정보를 쿼리할 액세스 권한이 있는 LDAP 도메인 사용자의 사용자 ID 및 암호입니다. 예: myuseradminmyadminpasswd

또한 사용자는 Active Directory 서버에 연결하는 데 SSL을 사용할지, 또는 TLS를 사용할지 결정해야 합니다. SSL 메소드를 선택한 경우에는 Active Directory 서버에서 서버와의 통신을 암호화하기 위해 어플라이언스가 사용할 CA 인증서를 페치하십시오. 예: myca-cert.crt

프로시저

  1. IIAS 시스템의 첫 번째(node0101) 또는 두 번째(node102) 노드에 apuser, 또는 ibmapadmin OS 그룹의 다른 구성원으로서 로그인하십시오.
  2. SSL ldaps 또는 starttls 메소드를 사용하고 있는 경우에는 scp 명령을 사용하여 CA 인증서를 외부 시스템에서 어플라이언스로 복사한 후 /tmp 디렉토리에 보관하십시오.
  3. 기본 SSL none 메소드를 사용하는 경우에는 다음 인수를 사용하여 ap_external_ldap.pl 유틸리티를 실행하십시오. 
    ap_external_ldap.pl enable
   --host myserver.com --port 389 --ldap-type ad --search-base-dn "dc=myldaporg,dc=com"
   --searcher-dn "myuseradmin" --searcher-password "myadminpasswd"
    SSL ldaps 메소드를 사용하려면 다음 인수를 사용하여 ap_external_ldap.pl 유틸리티를 실행하십시오. port 옵션에 LDAP 서버의 SSL 포트를 지정해야 합니다(예: 636). 
    ap_external_ldap.pl enable
   --host myserver.com --port 636 --ldap-type ad --search-base-dn "dc=myldaporg,dc=com"
   --searcher-dn "myuseradmin" --searcher-password "myadminpasswd"
   --ssl-method ldaps --ca-cert /tmp/ myca-cert.pem
    SSL starttls 메소드를 사용하려면 다음 인수를 사용하여 ap_external_ldap.pl 유틸리티를 실행하십시오. port 옵션에 LDAP 서버의 비SSL 포트를 지정해야 합니다(예: 389). 
    ap_external_ldap.pl enable
   --host myserver.com -port 389 --ldap-type ad --search-base-dn "dc=myldaporg,dc=com"
   --searcher-dn "myuseradmin" --searcher-password "myadminpasswd"
   --ssl-method starttls --ca-cert /tmp/ myca-cert.pem
  4. 명령이 실행되면 id 명령을 사용하여 설정을 확인하십시오.
    예를 들어, user1이 LDAP 데이터베이스의 사용자 ID인 경우 다음 명령은 이 사용자의 ID 및 그룹 정보를 리턴합니다. 
    id user1
  5. Active Directory 서버의 사용자가 IIAS에 로그인하기 위해서는 어플라이언스의 OS 그룹 중 하나에 디렉토리의 사용자를 추가해야 합니다(OS 그룹에 아직 추가되지 않은 경우). 
    ap_external_ldap.pl usermod --group ibmapadmin|ibmapusers|none username
    예를 들어, myaduser로 이름 지정된 사용자를 OS 로컬 그룹 ibmadmin에 추가하려면 다음 명령을 실행하십시오. 
    ap_external_ldap.pl usermod --group ibmapadmin myaduser

결과

이제 Integrated Analytics System이 조직의 Active Directory 서버를 사용하도록 구성되었습니다. 디렉토리의 유효한 사용자는 SSH를 사용하여 어플라이언스의 모든 노드에 로그인할 수 있습니다. 이제 IIAS의 /tmp 디렉토리에 업로드한 인증서를 제거할 수 있습니다.