4.5. ロードバランサーのキータブの作成、およびキータブを使用するように Directory Server の設定


ユーザーが GSSAPI を使用してロードバランサーの背後にある Directory Server に対して認証できるようにするには、ロードバランサー用に Kerberos プリンシパルを作成し、Directory Server が Kerberos プリンシパルを使用するように設定します。本セクションでは、この手順を説明します。

前提条件

  • 以下の .inf ファイル設定を含むインスタンス:

    • full_machine_name パラメーターがロードバランサーの DNS 名に設定された。
    • strict_host_checking パラメーターが False に設定されています。

手順

  1. ロードバランサーの Kerberos プリンシパルを作成します (例: ldap/loadbalancer.example.com_@_EXAMPLE.COM)。サービスプリンシパルを作成する手順は、Kerberos インストールによって異なります。詳細は、Kerberos サーバーのドキュメントを参照してください。
  2. 必要に応じて、キータブファイルにさらにプリンシパルを追加できます。たとえば、ユーザーが Kerberos 認証を使用してロードバランサーの背後にある Directory Server インスタンスに直接接続できるようにするには、Directory Server ホスト用に追加のプリンシパルを追加します。たとえば、ldap/server1.example.com@EXAMPLE.COM です。
  3. サービスのキータブファイルを Directory Server ホストにコピーし、たとえば /etc/dirsrv/slapd-instance_name/ldap.keytab ファイルに保存します。
  4. サービスキータブへのパスを /etc/sysconfig/slapd-instance_name ファイルに追加します。

    KRB5_KTNAME=/etc/dirsrv/slapd-instance_name/ldap.keytab
  5. Directory Server インスタンスを再起動します。

    # dsctl instance_name restart

検証

  • GSSAPI プロトコルを使用してロードバランサーに接続できることを確認します。

    # ldapsearch -H ldap://loadbalancer.example.com -Y GSSAPI

    Directory Server ホスト自体など、キータブファイルに Kerberos プリンシパルを追加した場合は、この接続を確認します。

    # ldapsearch -H ldap://server1.example.com -Y GSSAPI
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.