Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
16.2. クラスタサービスの設定
IdM サーバーは、クラスタに対応していません。ただし、Kerberos キーを参加サービスすべてにわたって同期させ、ホスト上で実行中のサービスをクライアントが使用する名前に対応するように設定すると、クラスタサービスを IdM の一部として設定することができます。
- クラスター内の全ホストを IdM ドメインに登録します。
- サービスプリンシパルを作成し、必要なキータブを生成します。
/etc/krb5.keytab
にあるホストキータブを含む、ホスト上のサービスに設定されたすべてのキータブを収集します。ktutil
コマンドを使って、全キータブファイルのコンテンツを含む単一のキータブファイルを作成します。- 各ファイルで
rkt
コマンドを使ってそのファイルからキーを読み取ります。 - 新規キータブファイルに読み込まれたキーすべてを書き込むには、
wkt
コマンドを使用します。
- 各ホスト上のキータブファイルを新たに作成した結合キータブファイルで置き換えます。
- この時点で、このクラスター内の各ホストは他のホストに偽装することができます。
- 失敗したサービスを引き継ぐ際にホスト名をリセットしないクラスターメンバーに対応するために、追加の設定が必要になるサービスが複数あります。
sshd
では、/etc/ssh/sshd_config
内でGSSAPIStrictAcceptorCheck no
と設定します。mod_auth_kerb
では、/etc/httpd/conf.d/auth_kerb.conf
内でKrbServiceName Any
と設定します。
注記
SSL サーバーの場合、サーバー証明書の発行先名もしくは発行先代替名は、クライアントがクラスター化したホストに接続する際に、正しく表示される必要があります。可能であれば、全ホスト間で秘密キーを共有してください。
各クラスターメンバーに、他のクラスターメンバーすべての名前を含んでいる発行先代替名が含まれている場合、それでクライアントの接続要件が満たされます。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。