在现代高性能计算（HPC）与人工智能（AI）平台中，多节点任务调度系统成为基础能力核心。随着集群规模的扩大与用户数量的增长，如何实现跨节点、跨系统的一致身份认证与授权机制，成为影响系统安全性、可用性和可维护性的关键因素。

为此，我们采用了基于 LDAP（Lightweight Directory Access Protocol） 的集中式用户认证体系，并通过 PAM（Pluggable Authentication Modules） 模块将其无缝集成至各节点操作系统中，构建统一、高效的用户认证与权限管理架构。

一、技术背景：调度系统的多用户认证挑战

在任务调度系统中（如 LSF、Slurm、SkyForm AIP 等），多用户共享同一计算资源池，必须确保：

·       用户身份在所有节点一致可识别

·       用户权限集中管理、实时同步

·       节点级操作系统能正确识别并授权调度任务中的用户

然而，传统的本地 /etc/passwd 与 /etc/shadow 认证机制，在多节点环境下无法同步用户信息，导致调度任务执行失败、访问权限混乱等问题。

二、LDAP：构建统一用户目录服务

我们采用 OpenLDAP 或 389-DS 等目录服务器，集中管理用户账号、组信息及密码策略。LDAP 的优势包括：

·       集中式管理：统一创建/删除用户，无需登录每台节点操作

·       灵活扩展性：支持多级 OU 结构，满足项目/部门用户隔离

·       可与企业级 AD 域集成：兼容多种认证体系

在调度系统中，LDAP 目录成为所有节点唯一可信的用户数据库，从根本上解决“账号漂移”与“权限不一致”问题。

三、PAM：操作系统对接 LDAP 的认证桥梁（技术细节版）

在 Linux 系统中，PAM（Pluggable Authentication Modules） 提供统一的认证接口，允许系统通过插件式方式对接 LDAP 实现用户认证、账户授权、密码校验与会话管理。

1. PAM 模块功能划分

PAM 按功能可分为以下四类模块（对应不同配置文件段）：

2. 关键配置文件说明（以 Ubuntu 系为例）

·       /etc/pam.d/common-auth：身份认证，调用 pam_ldap.so 或 pam_sss.so 验证密码

·       /etc/pam.d/common-account：账户有效性检查（如是否锁定）

·       /etc/pam.d/common-session：用户登录后的会话处理，常用于挂载资源、建家目录

·       /etc/pam.d/common-password：密码设置策略与修改规则

·       /etc/pam.d/sshd：SSH 登录入口，引用上述 common-* 配置

例如，要让 LDAP 用户首次登录自动创建主目录：

session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

此行可添加至 /etc/pam.d/common-session 或 /etc/pam.d/sshd 中，确保无本地用户记录时也能自动建家目录。

3. LDAP 库配置位置（NSS + PAM 双栈）

·       /etc/nsswitch.conf
控制系统查询用户/组/影子密码来源：

passwd: files ldap

group: files ldap

shadow: files ldap

·       /etc/ldap.conf 或 /etc/nslcd.conf（依赖使用的是 libnss-ldap 还是 nslcd）
配置 LDAP 服务地址、Base DN、绑定账号等信息，例如：

uri ldap://192.168.160.100

base dc=online,dc=auto

binddn cn=ldapadm,dc=online,dc=auto

bindpw admin123

·       若使用 sssd，则对应配置文件为 /etc/sssd/sssd.conf，该方式更现代、安全，支持缓存和离线登录。

4. CentOS 与 Ubuntu 中 PAM 文件差异对照

CentOS 推荐做法：系统通常同时使用 /etc/pam.d/system-auth 与 /etc/pam.d/password-auth，并由多个服务分别 include 这两个文件。建议在配置 PAM 认证模块（如 pam_sss、pam_ldap）或自动建家目录（pam_mkhomedir）时，统一修改两者，避免认证链条缺失造成认证失败。

5. 使用 SSSD 客户端的推荐配置（以 Ubuntu 为例）

相比传统 libnss-ldap + nslcd 组合，sssd 提供了更强的缓存、安全机制及扩展性。推荐使用 sssd 的部署方式如下：

安装并启用服务

sudo apt install sssd libpam-sss libnss-sss

sudo systemctl enable sssd --now

配置文件 /etc/sssd/sssd.conf

[sssd]

services = nss, pam

domains = LDAP

[domain/LDAP]

id_provider = ldap

auth_provider = ldap

ldap_uri = ldap://192.168.160.100

ldap_search_base = dc=online,dc=auto

ldap_default_bind_dn = cn=ldapadm,dc=online,dc=auto

ldap_default_authtok = admin123

ldap_tls_reqcert = allow

enumerate = true

cache_credentials = true

设置权限：chmod 600 /etc/sssd/sssd.conf
重启服务：systemctl restart sssd

修改相关配置文件

·       /etc/nsswitch.conf

passwd: files sss

group: files sss

shadow: files sss

·       /etc/pam.d/common-session（或 CentOS 的 /etc/pam.d/system-auth、password-auth）中添加：

session required pam_mkhomedir.so skel=/etc/skel umask=0022

6. nslcd vs sssd 对比与推荐

推荐选择：sssd，特别适用于生产环境、调度系统与企业 AD 集成、安全要求较高的集群部署场景。

四、实际效果：统一认证保障调度系统稳定运行

通过 LDAP + PAM 的认证集成，我们实现了以下目标：

尤其在多租户、高安全要求的场景中，LDAP+PAM 构建的统一认证体系成为任务调度系统中不可或缺的基石。

五、总结：认证体系的未来方向

面向未来，我们将进一步探索：

·       与 Kerberos 协议结合，实现票据机制的安全认证

·       引入 SSSD（System Security Services Daemon）增强缓存与离线认证能力

·       与企业级 IAM 系统对接，实现 DevOps 与 HPC 用户管理统一化

通过持续演进的认证机制，我们将为任务调度系统构筑更强大的安全壁垒与用户体验基础，为企业智能计算平台赋能。

如需部署方案、配置示例或集成服务支持，欢迎联系我们技术团队。