认证
在 LSF 中,可以通过使用 LSF eauth 可执行文件进行外部认证,也可以通过标识守护程序 (identd) 进行认证。 外部认证提供最高级别的安全性,是 LSF 中的缺省认证方法。 它安装在 lsf.conf 文件中的 LSF_SERVERDIR 参数指定的目录中。
缺省情况下, eauth 使用内部密钥来加密认证数据,但您可以使用定制的外部密钥来提高安全性。 您还可以使用缺省 eauth 作为 eauth 协议的演示,编写自己的 eauth 可执行文件以满足集群的安全需求。
更新 eauth 可执行文件
如果要使用 LSFV 10.1 修订包 2 到 9 ,那么还可以将缺省 eauth 可执行文件替换为 eauth.cve 可执行文件,这将使用 128 位 AES 加密自动生成特定于站点的内部密钥。 重命名或移动原始 eauth 可执行文件,然后将 eauth.cve 可执行文件重命名为 eauth。
在 Windows 主机中,将 eauth.exe 可执行文件替换为 eauth.cve.exe
与 LSF 服务器主机相比,新的 eauth 命令拒绝来自 UTC 时间偏移超过 5 分钟的主机的 LSF 请求。
如果您正在使用 LSFV 10.1 FP10 和更高版本,那么不需要替换 eauth 可执行文件,因为它已包含 eauth.cve 文件中的功能部件。 此外, LSFV 10.1 FP10 和更高版本不再允许本地和远程主机中的作业具有 root 用户执行特权。 使用 root 用户特权执行的任何操作都必须以 LSF 管理员身份执行。 有关临时启用 root 用户特权的更多详细信息,请参阅 临时启用 root 用户特权。
如果在具有以下 LSF 功能的 LSF 集群中使用带有 LSF 多集群功能 的新 eauth 命令,那么必须在所有相关集群上的 lsf.sudoers 文件中配置相同的 LSF_EAUTH_KEY 值:
- 使用 lsrun -m 或 lsgrun -m 命令在远程主机上运行交互式任务
- LSF 数据管理器
hostsetup --setuid 命令对以下 LSF 可执行文件启用 setuid 位: badmin, lsadmin, egosh, utmpreg, swtbl_api, ntbl_api, lstbl_nid和 swtbl_poe。
如果您正在使用 IBM® Spectrum LSF RTM,那么还必须更新为 IBM Spectrum LSF RTM的相应新 eauth 可执行文件。