开始之前
要使用 lsf.sudoers 文件,必须对 LSF 管理命令启用 setuid 位。 在 LSF 管理 和候选主机上运行 hostsetup --setuid 命令选项。 由于这允许 LSF 管理命令以 root 用户特权运行,因此如果您不希望这些 LSF 命令以 root 用户特权运行,请不要启用 setuid 位。hostsetup
--setuid 命令对以下 LSF 可执行文件启用 setuid 位: badmin, lsadmin, egosh, utmpreg, swtbl_api, ntbl_api, lstbl_nid和 swtbl_poe。
关于本任务
缺省情况下, eauth 使用内部密钥来加密认证数据,但您可能希望使用自己的外部密钥来进一步提高安全性。
如果您正在使用 LSFV 10.1 修订包 2 或更高版本,那么还可以将缺省 eauth 可执行文件替换为 eauth.cve 可执行文件,这将使用 128 位 AES 加密自动生成特定于站点的内部密钥。 有关如何替换 eauth 可执行文件的更多详细信息,请参阅 lsf_security_authentication.html#lsf_security_authentication__v1726199。
您还可以编写自己的外部认证应用程序,以满足集群的安全需求。
过程
- 编辑 lsf.sudoers 文件。
- 通过指定 LSF_EAUTH_KEY 参数来使用定制外部键。
LSF_EAUTH_KEY=key
您可以使用公用密钥生成器工具 (例如 GnuPG 或 ssh-keygen) 来生成密钥。 下面是使用GnuPG:生成授权密钥的示例:
- 从 GnuPG Web 站点 下载 GnuPG 软件包,并在 LSF 管理 主机上安装该软件包。
- 通过运行 gpg --gen-key 命令创建 GPG 密钥。
- 编辑 lsf.sudoers 文件并注释掉原始 LSF_EAUTH_KEY 参数定义。
- 导出 GPG 密钥的 ASCII-armored 格式输出,并将此格式输出附加到 lsf.sudoers 文件。
LSF_EAUTH_KEY=<ASCII-armored format of the GPG key>
注: 在 Windows 主机中,必须编辑共享 lsf.sudoers 文件。
- 在 UNIX 主机中,将 lsf.sudoers 文件复制到每个 LSF 主机上的 /etc 目录。
- 重新配置集群以应用此更改。
- 重新启动集群以激活此更改。