16.2. クラスタサービスの設定

IdM サーバーは、クラスタに対応していません。ただし、Kerberos キーを参加サービスすべてにわたって同期させ、ホスト上で実行中のサービスをクライアントが使用する名前に対応するように設定すると、クラスタサービスを IdM の一部として設定することができます。
  1. クラスタ内の全ホストを IdM ドメインに登録します。
  2. サービスプリンシパルを作成し、必要な keytab を生成します。
  3. /etc/krb5.keytab にあるホスト keytab を含む、ホスト上のサービスに設定されたすべての keytab を収集します。
  4. ktutil コマンドを使って、全 keytab ファイルのコンテンツを含む単一の keytab ファイルを作成します。
    1. 各ファイルで rkt コマンドを使ってそのファイルからキーを読み取ります。
    2. 新規 keytab ファイルに読み込まれたキーすべてを書き込むには、wkt コマンドを使用します。
  5. 各ホスト上の keytab ファイルを新たに作成した結合 keytab ファイルで置き換えます。
  6. この時点で、このクラスター内の各ホストは他のホストに偽装することができます。
  7. 失敗したサービスを引き継ぐ際にホスト名をリセットしないクラスターメンバーに対応するために、追加の設定が必要になるサービスが複数あります。
    • sshd では、/etc/ssh/sshd_config 内で GSSAPIStrictAcceptorCheck no と設定します。
    • mod_auth_kerb では、/etc/httpd/conf.d/auth_kerb.conf 内で KrbServiceName Any と設定します。

注記

SSL サーバーの場合、サーバー証明書のサブジェクト名もしくはサブジェクト代替名は、クライアントがクラスター化したホストに接続する際に、正しく表示される必要があります。可能であれば、全ホスト間で秘密キーを共有してください。
各クラスターメンバーに、他のクラスターメンバーすべての名前を含んでいるサブジェクト代替名が含まれている場合、それでクライアントの接続要件が満たされます。