4.5. ロードバランサーのキータブの作成、およびキータブを使用するように Directory Server の設定
ユーザーが GSSAPI を使用してロードバランサーの背後にある Directory Server に対して認証できるようにするには、ロードバランサー用に Kerberos プリンシパルを作成し、Directory Server が Kerberos プリンシパルを使用するように設定します。本セクションでは、この手順を説明します。
前提条件
以下の
.inf
ファイル設定を含むインスタンス:-
full_machine_name
パラメーターがロードバランサーの DNS 名に設定された。 -
strict_host_checking
パラメーターがFalse
に設定されています。
-
手順
-
ロードバランサーの Kerberos プリンシパルを作成します (例:
ldap/loadbalancer.example.com_@_EXAMPLE.COM
)。サービスプリンシパルを作成する手順は、Kerberos インストールによって異なります。詳細は、Kerberos サーバーのドキュメントを参照してください。 -
必要に応じて、キータブファイルにさらにプリンシパルを追加できます。たとえば、ユーザーが Kerberos 認証を使用してロードバランサーの背後にある Directory Server インスタンスに直接接続できるようにするには、Directory Server ホスト用に追加のプリンシパルを追加します。たとえば、
ldap/server1.example.com@EXAMPLE.COM
です。 -
サービスのキータブファイルを Directory Server ホストにコピーし、たとえば
/etc/dirsrv/slapd-instance_name/ldap.keytab
ファイルに保存します。 サービスキータブへのパスを
/etc/sysconfig/slapd-instance_name
ファイルに追加します。KRB5_KTNAME=/etc/dirsrv/slapd-instance_name/ldap.keytab
Directory Server インスタンスを再起動します。
# dsctl instance_name restart
検証
GSSAPI プロトコルを使用してロードバランサーに接続できることを確認します。
# ldapsearch -H ldap://loadbalancer.example.com -Y GSSAPI
Directory Server ホスト自体など、キータブファイルに Kerberos プリンシパルを追加した場合は、この接続を確認します。
# ldapsearch -H ldap://server1.example.com -Y GSSAPI