Show Table of Contents
16.2. クラスタサービスの設定
IdM サーバーは、クラスタに対応していません。ただし、Kerberos キーを参加サービスすべてにわたって同期させ、ホスト上で実行中のサービスをクライアントが使用する名前に対応するように設定すると、クラスタサービスを IdM の一部として設定することができます。
- クラスター内の全ホストを IdM ドメインに登録します。
- サービスプリンシパルを作成し、必要なキータブを生成します。
/etc/krb5.keytabにあるホストキータブを含む、ホスト上のサービスに設定されたすべてのキータブを収集します。ktutilコマンドを使って、全キータブファイルのコンテンツを含む単一のキータブファイルを作成します。- 各ファイルで
rktコマンドを使ってそのファイルからキーを読み取ります。 - 新規キータブファイルに読み込まれたキーすべてを書き込むには、
wktコマンドを使用します。
- 各ホスト上のキータブファイルを新たに作成した結合キータブファイルで置き換えます。
- この時点で、このクラスター内の各ホストは他のホストに偽装することができます。
- 失敗したサービスを引き継ぐ際にホスト名をリセットしないクラスターメンバーに対応するために、追加の設定が必要になるサービスが複数あります。
sshdでは、/etc/ssh/sshd_config内でGSSAPIStrictAcceptorCheck noと設定します。mod_auth_kerbでは、/etc/httpd/conf.d/auth_kerb.conf内でKrbServiceName Anyと設定します。
注記
SSL サーバーの場合、サーバー証明書のサブジェクト名もしくはサブジェクト代替名は、クライアントがクラスター化したホストに接続する際に、正しく表示される必要があります。可能であれば、全ホスト間で秘密キーを共有してください。
各クラスターメンバーに、他のクラスターメンバーすべての名前を含んでいるサブジェクト代替名が含まれている場合、それでクライアントの接続要件が満たされます。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.