11.4. クラスタサービスの設定
IdM サーバーは、クラスターに対応していません。ただし、Kerberos キーを参加サービスすべてにわたって同期させ、ホスト上で実行中のサービスをクライアントが使用する名前に対応するように設定すると、クラスタサービスを IdM の一部として設定きます。
- クラスター内の全ホストを IdM ドメインに登録します。
- サービスプリンシパルを作成し、必要なキータブを生成します。
/etc/krb5.keytab
にあるホストキータブなど、ホスト上のサービスに設定された全キータブを収集します。- ktutil コマンドを使用して、全キータブファイルのコンテンツを含む単一のキータブファイルを作成します。
- 各ファイルで rkt コマンドを使用してそのファイルからキーを読み取ります。
- 新規キータブファイルに読み込まれたキーすべてを書き込むには、wkt コマンドを使用します。
- 各ホスト上のキータブファイルを新たに作成した結合キータブファイルで置き換えます。
- この時点で、このクラスター内の各ホストは他のホストに偽装することができます。
- サービスによっては、追加の設定を行い、障害のあるサービスから引き継いだ時にリセットされないクラスターのメンバーに対応する必要がある場合があります。
sshd
の場合は、/etc/ssh/sshd_config
にGSSAPIStrictAcceptorCheck no
を設定します。mod_auth_kerb
の場合には、/etc/httpd/conf.d/auth_kerb.conf
にKrbServiceName Any
を設定し ます。
注記
SSL サーバーの場合には、クライアントがクラスター化したホストに接続する時に、サーバー証明書の発行先名または代わりの発行先名が正しく表示される必要があります。可能であれば、全ホスト間で秘密キーを共有してください。
各クラスターメンバーに、他のクラスターメンバーすべての名前を含んでいる発行先代替名が含まれている場合、それでクライアントの接続要件が満たされます。