Kerberos認証用にOpsCenterを構成する

OpsCenterでは、DataStax Enterpriseクラスターに対して認証にKerberosを使用できます。DataStax EnterpriseクラスターがKerberos認証を使用している場合は、クラスターをOpsCenterに追加する前に、OpsCenterプリンシパルを作成し、構成する必要があります。

OpsCenterでは、DataStax Enterpriseクラスターに対して認証にKerberosを使用できます。DataStax EnterpriseクラスターがKerberos認証を使用している場合は、クラスターをOpsCenterに追加するに、OpsCenterプリンシパルを作成し、構成する必要があります。

始める前に

Kerberos用にDSEを構成します。詳細については、DataStax Enterpriseのドキュメントの「Kerberosを使用したクラスターの認証」を参照し、Kerberosチュートリアルを確認してください。

address.yaml

address.yamlファイルの場所は、インストールのタイプによって異なります。

  • パッケージ・インストール:/var/lib/datastax-agent/conf/address.yaml
  • tarボール・インストール:install_location/conf/address.yaml

cluster_name.conf

cluster_name.confファイルの場所は、インストールのタイプによって異なります。

  • パッケージ・インストール:/etc/opscenter/clusters/cluster_name.conf
  • tarボール・インストール:install_location/conf/clusters/cluster_name.conf

手順

  1. opscenterdプリンシパルを作成し、DataStax Enterpriseに登録します。 
    cqlsh cqlsh> create user ‘opscenterd/Kerberos host@Kerberos domain’;

    ノード上のユーザーを表示するには、cqlshlist usersコマンドを実行します。

    cqlsh cqlsh> list users;
  2. 各ノードで実行しているOpsCenterエージェント・ユーザーのサービス・プリンシパルを作成し、DataStax Enterpriseに登録します。デフォルトのユーザー名はcassandraです。 
    cqlsh cqlsh> create user ‘cassandra/Kerberos host@Kerberos domain’;
    注: cassandra以外のユーザーとしてエージェントを実行する場合は、「パーミッションの設定」を参照してエージェントを別のユーザーで実行してください。
  3. cassandraプリンシパルのキータブを作成し、これらを各ノードのdatastax-agentディレクトリーの場所に移動します。
    キータブは、お使いの環境で構成した場所に配置します。デフォルトの場所は、パッケージ・インストールの場合は/usr/share/datastax-agent/krb5.keytab、tarボール・インストールの場合はinstall_location/datastax-agent/krb5.keytabです。キータブのパスは、cluster_name.conf[kerberos] opscenterd_keytab_locationか、address.yamlkerberos_keytab_locationのいずれかを使用して構成できます。
  4. キータブと/datastax-agentディレクトリーの所有者をcassandraユーザーに変更します。
    以下の例では、パッケージ・インストールのデフォルトの場所の/datastax-agentディレクトリーとキータブの所有権を変更しています。インストール・タイプに合わせて以下のパスを構成されているキータブの場所に置き換えます。
    sudo chown cassandra /usr/share/datastax-agent /usr/share/datastax-agent/krb5.keytab
  5. 既存のクラスターの追加」の説明に従ってクラスターを追加する場合は、[DSE security (kerberos) is enabled on my cluster]を選択します。

    Kerberosのフィールドが展開されます。

    OpsCenterユーザー・インターフェイスのKerberosの設定

  6. お使いの環境に従って情報を入力します。
    1. サービス名を入力します。たとえば、ノードのサーバー・プリンシパルがdse/nodeX.example.com@EXAMPLE.COMである場合、このフィールドにはdseと入力する必要があります。
    2. OpsCenterプロセス/マシンが使用するOpscenterdクライアント・プリンシパルを入力します。たとえば、opscenterd@YOUR_REALMなどです。
    3. [Opscenterd Keytab Location]にOpsCenterマシンのキータブの場所を入力します。このキータブには、opscenter_client_principalの認証情報が含まれています。
    4. [DataStax Agent Client Principal]に、DataStaxエージェント・プロセス/マシンが使用するクライアント・プリンシパルを入力します。たとえば、agent@YOUR_REALMなどです。
    5. [DataStax Agent Keytab Location]にDataStaxエージェント・マシンのキータブの場所を入力します。このキータブには、agent_client_principalの認証情報が含まれています。たとえば、/path/to/keytab.keytabなどです。