Kerberos用の環境のセットアップ

クラスター内の各ノードでDNSが適切に稼働し、NTPが有効でシステム時刻が設定されており、Kerberosクライアント・ライブラリがインストールされている必要があります。

クラスター内の各ノードでDNSが適切に稼働し、NTPが有効でシステム時刻が同期されており、Kerberosクライアント・ライブラリがインストールされている必要があります。

注: DataStax EnterpriseのアップグレードとKerberosの設定を同時に行わないでください。「セキュリティ上の推奨事項」を参照してください。

始める前に

Kerberosガイドラインを読んで、実施しました。
Oracle Java 8を使用する場合は、少なくとも1.8.0_40を使用する必要があります。
Oracle Javaを使用する場合は、Java Cryptography Extension（JCE）Unlimited Strength Jurisdiction Policyファイルが各ノードにインストールされている必要があります。

手順

各ノードで以下の操作を実行します。

各ノードでDNSが稼動していることを確認します。
```
hostname
```
```
node1.example.com
```

各ノードでNTPが構成されており、実行されていることを確認します。

ntpq -p


remote           refid            st t when poll reach   delay   offset  jitter
==============================================================================
*li506-17.member 209.51.161.238   2  u 331 1024  377   80.289    1.384   1.842
-tock.eoni.com   216.228.192.69   2  u 410 1024  377   53.812    1.706  34.692
+time01.muskegon 64.113.32.5      2  u 402 1024  377   59.378   -1.635   1.840
-time-a.nist.gov .ACTS.1  u 746 1024  151  132.832   26.931  55.018
+golem.canonical 131.188.3.220    2  u 994 1024  377  144.080   -1.732  20.072

Kerberosクライアント・ソフトウェアをインストールします。
- RHELベースのシステム：
```
$ sudo yum install krb5-workstation krb5-libs krb5-pkinit-openssl
```
- Debianベースのシステム：
```
$ sudo apt-get install krb5-user krb5-config krb5-pkinit
```
JCE Unlimited Strength Jurisdiction Policyファイルを使用していない場合は、プリンシパルを付与するチケットがAES-256を使用しないことを確認します。
KerberosサーバーとしてMIT Kerberos server for Linuxを使用している場合は、Kerberosサーバーから各DataStax Enterpriseノードにkrb5.confをコピーします。その他のKerberosサーバー・ソリューションを使用している場合は、REALMセクションを各DataStax Enterpriseノードのkrb5.confにコピーします。
```
scp /etc/krb5.conf node1.example.com:/etc/
```
krb5.confファイルには、Kerberosドメインの構成情報が含まれています。

次のタスク

クラスター内の各ノード用のKerberosサービス・プリンシパルの追加