Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

16.4. 複数サーバーの既存キータブの取得

クラスター環境など、一部のシナリオでは、異なるマシンによって 1 つの共通ホスト名で表されるサービスに同じキータブファイルが必要になります。IdM コマンドを使用して、各ホストで同じキータブを取得できます。
共通のホスト名とサービスプリンシパルを準備するには、IdM サーバーで以下のコマンドを実行します。
  1. admin ユーザーとして認証します。 
    [root@ipaserver ~]# kinit admin
  2. このホスト名を共有するすべての IP アドレスの共通の正引き DNS レコードを追加します。 
    [root@ipaserver ~]# ipa dnsrecord-add idm.example.com cluster --a-rec={192.0.2.40,192.0.2.41}
  Record name: cluster
    A record: 192.0.2.40, 192.0.2.41
  3. 共通の DNS 名用に新規ホストのエントリーオブジェクトを作成します。 
    [root@ipaserver ~]# ipa host-add cluster.idm.example.com
------------------------------------
Added host "cluster.idm.example.com"
------------------------------------
  Host name: cluster.idm.example.com
  Principal name: host/cluster.idm.example.com@IDM.EXAMPLE.COM
  Password: False
  Keytab: False
  Managed by: cluster.idm.example.com
  4. ホストのサービスプリンシパルを追加します。 
    [root@ipaserver ~]# ipa service-add HTTP/cluster.idm.example.com
------------------------------------------------------------
Added service "HTTP/cluster.idm.example.com@IDM.EXAMPLE.COM"
------------------------------------------------------------
  Principal: HTTP/cluster.idm.example.com@IDM.EXAMPLE.COM
  Managed by: cluster.idm.example.com
  5. IdM からキータブを取得できるサービスにホストを追加します。 
    [root@ipaserver ~]# ipa service-allow-retrieve-keytab HTTP/cluster.idm.example.com --hosts={node01.idm.example.com,node02.idm.example.com}
  Principal: HTTP/cluster.idm.example.com@IDM.EXAMPLE.COM
  Managed by: cluster.idm.example.com
  Hosts allowed to retrieve keytab: node01.idm.example.com, node02.idm.example.com
-------------------------
Number of members added 2
-------------------------
  6. 1 つのホストに新規キータブを作成するパーミッションを付与します。 
    [root@ipaserver ~]# ipa service-allow-create-keytab HTTP/cluster.idm.example.com --hosts=node01.idm.example.com
Principal: HTTP/cluster.idm.example.com@IDM.EXAMPLE.COM
Managed by: cluster.idm.example.com
Hosts allowed to retrieve keytab: node01.idm.example.com, node02.idm.example.com
Hosts allowed to create keytab: node01.idm.example.com
-------------------------
Number of members added 1
-------------------------
クライアントで、以下の手順に従います。
  1. ホストの Kerberos キータブで認証を行います。 
    # kinit -kt /etc/krb5.keytab
    1. 該当のパーミッションを付与したクライアントで、新規キータブを生成し、ファイルに保存します。 
      [root@node01 ~]# ipa-getkeytab -s ipaserver.idm.example.com -p HTTP/cluster.idm.example.com -k /tmp/client.keytab
    2. 他のすべてのクライアントで、-r オプションをコマンドに追加して、IdM サーバーから既存のキータブを取得します。 
      [root@node02 ~]# ipa-getkeytab -r -s ipaserver.idm.example.com -p HTTP/cluster.idm.example.com -k /tmp/client.keytab
      警告
      -r オプションを省略すると、新しいキータブが生成されることに注意してください。これは、このサービスプリンシパル用に以前に取得したキータブをすべて無効にします。