16.2. 配置集群服务
IdM 服务器 不知道。但是,可以通过在所有参与的主机中同步 Kerberos 密钥并配置主机上运行的服务来响应客户端使用的任何名称,将集群服务配置为 IdM 的一部分。
- 将集群中的所有主机注册到 IdM 域中。
- 创建任何服务主体并生成所需的 keytab。
- 收集主机上为服务设置的所有 keytab,包括位于
/etc/krb5.keytab
的主机 keytab。 - 使用 ktutil 命令生成一个 keytab 文件,其中包含所有 keytab 文件的内容。
- 对于每个文件,使用 rkt 命令从该文件中读取密钥。
- 使用 wkt 命令将所有已读取的密钥写入一个新的 keytab 文件。
- 将每个主机上的 keytab 文件替换为新创建的组合 keytab 文件。
- 此时,此集群中的每个主机现在可以模拟任何其他主机。
- 有些服务需要额外的配置,以适应在接管故障服务时不会重置主机名的群集成员。
- 对于
sshd
,在/etc/ssh/sshd_config
中设置GSSAPIStrictAcceptorCheck no
。 - 对于
mod_auth_kerb
,请在/etc/httpd/conf.d/auth_kerb.conf
中设置KrbServiceName
any。
注意
对于 SSL 服务器,当客户端连接到集群主机时,服务器证书的主题名称或替代名称必须正确显示。如果可能,在所有主机之间共享私钥。
如果每个群集成员都包含主题备用名称,其中包含所有其他群集成员的名称,则满足任何客户端连接要求。