配置 Windows Active Directory 以进行平台认证

如果您运行的是 Integrated Analytics System (IIAS) V1.0.6 或更高版本,那么可以通过 Microsoft Windows Active Directory 设置认证,以使 Active Directory 用户能够登录到 IIAS 平台。

开始之前

在设备中通过 Active Directory 配置认证之前,请准备以下信息:
Windows Active Directory 属性
所有需要访问 IIAS 的 Active Directory 用户都必须在 Active Directory 服务器中设置以下属性:
  • objectclass:posixAccount
  • uid:username
  • uidNumber:user id number(必须大于 1000)
  • gidNumber:group id number
  • loginShell:/bin/bash
  • homeDirectory:/home/username
Active Directory 服务器主机和端口
例如:myadserver.com389
要点: 请确保可以从所有 IIAS 节点 ping 通 Active Directory 服务器主机。
Active Directory 服务器的专有名称/域名 (dn)
例如:myadserver.org.com
绑定用户信息
有权查询所有用户/组信息的 LDAP 域用户的用户标识和密码。例如:myuseradminmyadminpasswd

此外,您应该决定是使用 SSL 还是 TLS 来连接到 Active Directory 服务器。如果已选择任何 SSL 方法,请从 Active Directory 服务器提取 CA 证书,供设备用于加密 Active Directory 服务器通信。例如:myca-cert.crt

过程

  1. apuser 身份或 ibmapadmin 操作系统组的另一成员身份,登录 IIAS 系统的第一个节点 (node0101) 或第二个节点 (node0102)。
  2. 如果要使用 SSL ldapsstarttls 方法,请使用 scp 命令将该 CA 证书从外部机器复制到设备,并将其保存在 /tmp 目录中。
  3. 如果要使用缺省的 SSL none 方法,请使用以下自变量运行 ap_external_ldap.pl 实用程序: 
    ap_external_ldap.pl enable
   --host myserver.com --port 389 --ldap-type ad --search-base-dn "dc=myldaporg,dc=com"
   --searcher-dn "myuseradmin" --searcher-password "myadminpasswd"
    如果要使用 SSL ldaps 方法,请使用以下自变量运行 ap_external_ldap.pl 实用程序。请确保在 port 选项中指定 LDAP 服务器的 SSL 端口(例如:636): 
    ap_external_ldap.pl enable
   --host myserver.com --port 636 --ldap-type ad --search-base-dn "dc=myldaporg,dc=com"
   --searcher-dn "myuseradmin" --searcher-password "myadminpasswd"
   --ssl-method ldaps --ca-cert /tmp/ myca-cert.pem
    如果要使用 SSL starttls 方法,请使用以下自变量运行 ap_external_ldap.pl 实用程序。请确保在 port 选项中指定 LDAP 服务器的非 SSL 端口(例如:389): 
    ap_external_ldap.pl enable
   --host myserver.com -port 389 --ldap-type ad --search-base-dn "dc=myldaporg,dc=com"
   --searcher-dn "myuseradmin" --searcher-password "myadminpasswd"
   --ssl-method starttls --ca-cert /tmp/ myca-cert.pem
  4. 成功运行此命令后,您可使用 id 命令验证设置。
    例如,如果 user1 是 LDAP 数据库中的用户标识,那么以下命令会成功返回此用户的标识和组信息: 
    id user1
  5. 要使 Active Directory 服务器中的任何用户能够登录 IIAS,必须将该目录中的用户添加到设备的某个操作系统组(如果尚未添加到任何操作系统组): 
    ap_external_ldap.pl usermod --group ibmapadmin|ibmapusers|none username
    例如,要将名为 myaduser 的用户添加到操作系统本地组 ibmadmin,请运行以下命令: 
    ap_external_ldap.pl usermod --group ibmapadmin myaduser

结果

Integrated Analytics System 现已配置为使用贵组织的 Active Directory 服务器。目录中的任何有效用户都可以使用 SSH 登录设备的任何节点。现在,您可移除先前上载到 IIAS 的 /tmp 目录中的证书。