Inicio de sesión en un nodo que no es del clúster mediante un usuario del clúster en modo normal
Escenario
Cuando el clúster se instala en modo normal, los clientes de componentes no admiten la autenticación de seguridad y no pueden utilizar el comando kinit. Por lo tanto, los nodos fuera del clúster no pueden usar usuarios del clúster de forma predeterminada. Esto puede dar como resultado un error de autenticación de usuario cuando uno de estos nodos accede a un servidor de componentes.
El administrador del nodo puede configurar un usuario que tiene el mismo nombre que el de un usuario para un nodo fuera del clúster, permitir que el usuario inicie sesión en el nodo mediante el protocolo SSH, y conectarse a los servidores de los componentes del clúster mediante el uso del usuario que inicia sesión en el sistema operativo.
Prerrequisitos
- Los nodos fuera del clúster pueden conectarse al plano de servicio del clúster.
- El servicio KrbServer del clúster se está ejecutando correctamente.
- Ha obtenido la contraseña del usuario root del nodo fuera del clúster.
- Se ha planificado y agregado un usuario humano-máquina al clúster, y se ha obtenido el archivo de credenciales de autenticación. Para más detalles, consulte Creación de un usuario y Exportación de un archivo de credenciales de autenticación.
Procedimiento
- Inicie sesión en el nodo donde se agregará un usuario como usuario root.
- Ejecute el siguiente comando:
rpm -qa | grep pam and rpm -qa| grep krb5-client
Se muestran los siguientes paquetes RPM:
pam_krb5-32bit-2.3.1-47.12.1 pam-modules-32bit-11-1.22.1 yast2-pam-2.17.3-0.5.211 pam-32bit-1.1.5-0.10.17 pam_mount-32bit-0.47-13.16.1 pam-config-0.79-2.5.58 pam_krb5-2.3.1-47.12.1 pam-doc-1.1.5-0.10.17 pam-modules-11-1.22.1 pam_mount-0.47-13.16.1 pam_ldap-184-147.20 pam-1.1.5-0.10.17 krb5-client-1.6.3
- Compruebe si los paquetes RPM de la lista están instalados en el sistema operativo.
- Obtenga los paquetes RPM faltantes de la imagen del sistema operativo, cargue los archivos al directorio actual y ejecute el siguiente comando para instalar el paquete RPM:
rpm -ivh *.rpm
Los paquetes RPM que se van a instalar pueden conllevar riesgos de seguridad. Los riesgos que puede conllevar la instalación de estos paquetes RPM deben tenerse en cuenta durante el endurecimiento del sistema operativo.
Una vez instalados los paquetes RPM, vaya a 5.
- Ejecute el siguiente comando para configurar la autenticación Kerberos en PAM:
pam-config --add --krb5
Si necesita cancelar la autenticación de Kerberos y el inicio de sesión del usuario del sistema en un nodo que no sea del clúster, ejecute el comando pam-config --delete --krb5 como usuario root.
- Descomprima el archivo de credenciales de autenticación para obtener krb5.conf y use WinSCP para cargar este archivo de configuración en el directorio /etc en el nodo fuera del clúster, y ejecute el siguiente comando para configurar permisos relacionados para permitir que otros usuarios accedan al archivo, como permiso 604:
chmod 604 /etc/krb5.conf
- Ejecute el siguiente comando en la sesión de conexión como usuario root para agregar el usuario del sistema operativo correspondiente al usuario hombre-máquina y especifique root como grupo principal.
La contraseña del usuario del sistema operativo es la misma que la contraseña inicial cuando se crea el usuario humano-máquina en Manager.
useradd User name -m -d /home/admin_test -g root -s /bin/bash
Por ejemplo, si el nombre del usuario humano-máquina es admin_test, ejecute el siguiente comando:
useradd admin_test -m -d /home/admin_test -g root -s /bin/bash
Cuando se utiliza el usuario del sistema operativo recién agregado para iniciar sesión en el nodo mediante el protocolo SSH por primera vez, el sistema indica que la contraseña ha caducado después de introducir la contraseña del usuario. y el sistema le indica que la contraseña debe cambiarse después de que vuelva a introducir la contraseña de usuario. Debe introducir una nueva contraseña que cumpla con los requisitos de complejidad de contraseña tanto del sistema operativo del nodo como del clúster.