16.2. クラスタサービスの設定

IdM サーバーは、クラスタに対応していません。ただし、Kerberos キーを参加サービスすべてにわたって同期させ、ホスト上で実行中のサービスをクライアントが使用する名前に対応するように設定すると、クラスタサービスを IdM の一部として設定することができます。

クラスタ内の全ホストを IdM ドメインに登録します。
サービスプリンシパルを作成し、必要な keytab を生成します。
/etc/krb5.keytab にあるホスト keytab を含む、ホスト上のサービスに設定されたすべての keytab を収集します。
ktutil コマンドを使って、全 keytab ファイルのコンテンツを含む単一の keytab ファイルを作成します。
1. 各ファイルで rkt コマンドを使ってそのファイルからキーを読み取ります。
2. 新規 keytab ファイルに読み込まれたキーすべてを書き込むには、wkt コマンドを使用します。
各ホスト上の keytab ファイルを新たに作成した結合 keytab ファイルで置き換えます。
この時点で、このクラスター内の各ホストは他のホストに偽装することができます。
失敗したサービスを引き継ぐ際にホスト名をリセットしないクラスターメンバーに対応するために、追加の設定が必要になるサービスが複数あります。
- sshd では、/etc/ssh/sshd_config 内で GSSAPIStrictAcceptorCheck no と設定します。
- mod_auth_kerb では、/etc/httpd/conf.d/auth_kerb.conf 内で KrbServiceName Any と設定します。

注記

SSL サーバーの場合、サーバー証明書のサブジェクト名もしくはサブジェクト代替名は、クライアントがクラスター化したホストに接続する際に、正しく表示される必要があります。可能であれば、全ホスト間で秘密キーを共有してください。

各クラスターメンバーに、他のクラスターメンバーすべての名前を含んでいるサブジェクト代替名が含まれている場合、それでクライアントの接続要件が満たされます。

Where did the comment section go?

Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

JBoss Development and Management

JBoss Integration and Automation

Mobile

Services

Tools

Red Hat Insights

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

16.2. クラスタサービスの設定

Where did the comment section go?