クラスター内の各ノードでDNSが適切に稼働し、NTPが有効でシステム時刻が設定されており、Kerberosクライアント・ライブラリがインストールされている必要があります。
クラスター内の各ノードでDNSが適切に稼働し、NTPが有効でシステム時刻が同期されており、Kerberosクライアント・ライブラリがインストールされている必要があります。
注: DataStax EnterpriseのアップグレードとKerberosの設定を同時に行わないでください。「
セキュリティ上の推奨事項」を参照してください。
始める前に
- Kerberosガイドラインを読んで、実施しました。
- Oracle Java 8を使用する場合は、少なくとも1.8.0_40を使用する必要があります。
- Oracle Javaを使用する場合は、Java Cryptography Extension(JCE)Unlimited Strength Jurisdiction Policyファイルが各ノードにインストールされている必要があります。
手順
各ノードで以下の操作を実行します。
-
各ノードでDNSが稼動していることを確認します。
-
各ノードでNTPが構成されており、実行されていることを確認します。
remote refid st t when poll reach delay offset jitter
==============================================================================
*li506-17.member 209.51.161.238 2 u 331 1024 377 80.289 1.384 1.842
-tock.eoni.com 216.228.192.69 2 u 410 1024 377 53.812 1.706 34.692
+time01.muskegon 64.113.32.5 2 u 402 1024 377 59.378 -1.635 1.840
-time-a.nist.gov .ACTS.1 u 746 1024 151 132.832 26.931 55.018
+golem.canonical 131.188.3.220 2 u 994 1024 377 144.080 -1.732 20.072
-
Kerberosクライアント・ソフトウェアをインストールします。
-
JCE Unlimited Strength Jurisdiction Policyファイルを使用していない場合は、プリンシパルを付与するチケットがAES-256を使用しないことを確認します。
-
KerberosサーバーとしてMIT Kerberos server for Linuxを使用している場合は、Kerberosサーバーから各DataStax Enterpriseノードにkrb5.confをコピーします。その他のKerberosサーバー・ソリューションを使用している場合は、REALMセクションを各DataStax Enterpriseノードのkrb5.confにコピーします。
scp /etc/krb5.conf node1.example.com:/etc/
krb5.confファイルには、Kerberosドメインの構成情報が含まれています。