操作場景

集群安裝為普通模式時，各組件客戶端不支持安全認證且無法使用kinit命令，所以集群外的節點默認無法使用集群中的用戶，可能導致在這些節點訪問某個組件服務端時用戶鑒權失敗。

如果需要在集群外節點以組件用戶身份訪問集群資源，管理員需為集群外節點設置同名用戶可通過SSH協議登錄節點的功能，并以登錄操作系統用戶身份連接集群各組件服務端。

前提條件

• 集群外的節點需要與集群的業務平面是連通的。
• 集群的KrbServer服務運行狀態正常。
• 獲取集群外的節點root用戶密碼。
• 集群已規劃并添加“人機”用戶，并獲取認證憑據文件。請參見創建用戶和導出認證憑據文件。

操作步驟

1.以root用戶登錄到需要添加用戶的節點。

2.執行以下命令：

rpm -qa | grep pam和rpm -qa| grep krb5-client

界面一共顯示以下rpm包：

pam_krb5-32bit-2.3.1-47.12.1

pam-modules-32bit-11-1.22.1

yast2-pam-2.17.3-0.5.211

pam-32bit-1.1.5-0.10.17

pam_mount-32bit-0.47-13.16.1

pam-config-0.79-2.5.58

pam_krb5-2.3.1-47.12.1

pam-doc-1.1.5-0.10.17

pam-modules-11-1.22.1

pam_mount-0.47-13.16.1

pam_ldap-184-147.20

pam-1.1.5-0.10.17

krb5-client-1.6.3

3.檢查操作系統實際是否已安裝清單中的rpm包？

• 是，執行5。
• 否，執行4。

4.從操作系統鏡像中獲取缺少的rpm包，并上傳文件到當前目錄，然后執行以下命令安裝rpm包：

rpm -ivh *.rpm

                
說明
                
安裝的RPM包可能帶來安全風險，請用戶對操作系統進行加固時考慮安裝這些RPM包所帶來的風險。
              

安裝完成后執行5。

5.執行以下命令，配置pam使用Kerberos認證。

pam-config --add --krb5

                
說明
                
如果需要在非集群節點取消Kerberos認證與系統用戶登錄，以“root”用戶執行pam-config --delete --krb5命令。
              

6.解壓認證憑據文件得到“krb5.conf”，并使用WinSCP將此配置文件上傳到集群外節點的“/etc”目錄，執行以下命令設置權限使其他用戶可以訪問，例如“604”：

chmod 604 /etc/krb5.conf

7.以root用戶繼續在連接會話中執行以下命令為“人機”用戶添加對應的操作系統用戶，并指定用戶主組為“root”。

此操作系統用戶密碼與在Manager創建“人機”用戶時設置的初始密碼相同。

useradd  用戶名 -m -d /home/admin_test -g root -s /bin/bash

例如，“人機”用戶名為“admin_test”，執行以下命令：

useradd admin_test -m -d /home/admin_test -g root -s /bin/bash

                
說明
                
第一次使用新添加的操作系統用戶通過SSH協議登錄節點時，首次輸入用戶密碼系統提示密碼過期，第二次輸入用戶密碼后系統提示修改密碼。請輸入一個同時滿足節點操作系統及集群密碼復雜度的新密碼。