7.2.2. Active Directory ドメインへの参加
AD に参加する前に、マシンアカウント情報を CTDB 経由ですべてのクラスターノードで利用可能なデータベースファイルに保存できるように CTDB を起動する必要があります。その他に、その他の Samba サービスをすべて停止する必要があります。ノード間で root ユーザー用にパスワードが設定されていない鍵ベースの SSH 認証が使用されている場合は、onnode ツールを使用して、1 つのノードからすべてのノードでこれらのコマンドを実行できます。
RHEL 7 および RHEL 8 で 以下を実行します。
# onnode all systemctl start ctdb # onnode all systemctl stop winbind # onnode all systemctl stop smb
RHEL 6 で以下を実行します。
# onnode all service ctdb start # onnode all service winbind stop # onnode all service smb stop
注記
- 設定で CTDB が Winbind と Samba を管理している場合は、上記の停止コマンドの前に実行するように一時的に無効にし、シャットダウン時に CTDB が正常でない状態にならないようにします。
# onnode all ctdb event script disable legacy 49.winbind # onnode all ctdb event script disable legacy 50.samba
- Red Hat Gluster Storage のバージョンによっては、selinux ポリシーのバグにより、'ctdb disablescript SCRIPT' が成功しない場合があります。この場合は、'chmod -x /etc/ctdb/events.d/SCRIPT' を root シェルの回避策として実行できます。
- winbind および smb をシャットダウンすると、主に、この AD 統合中の SMB サービスへのアクセスを防ぐことができます。これらのサービスは稼働したままになる可能性がありますが、他の手段でそれらへのアクセスを防ぐ必要があります。
結合は、1 つのノードから net ユーティリティーから開始されます。
警告
以下の手順は、1 つのクラスターノードでのみ実行される必要があり、他のクラスターノードでは繰り返すことはできません。CTDB により、クラスター全体がこのステップに参加します。
# net ads join -U Administrator Enter Administrator's password: Using short domain name -- ADDOM Joined 'RHS-SMB' to dns domain addom.example.com' Not doing automatic DNS update in a clustered setup.
参加に成功すると、クラスターの IP アドレスとクラスターの netbios 名がネットワークで公開される必要があります。AD DNS サーバーに複数のパブリッククラスター IP アドレスを登録するには、net ユーティリティーを再度使用できます。
# net ads dns register rhs-smb <PUBLIC IP 1> <PUBLIC IP 2> ...
このコマンドを実行すると、DNS 名
rhs-smb
が指定のパブリック IP アドレスに解決するようになります。DNS 登録は、AD での認証にクラスターマシンアカウントを使用します。つまり、この操作は、結合が成功した後にのみ実行できます。
クラスターの NetBIOS 名の登録は、nmbd サービスにより行われます。ホスト上の nmbd インスタンスが相互に登録を上書きしないようにするには、'cluster address' smb.conf オプションをクラスター全体のパブリックアドレスの一覧に設定する必要があります。