Kerberos Keytabファイルの作成
毎回パスワードを入力せずに認証するには、keytabファイルにプリンシパル認証情報を保存します。
認証情報を取得し、毎回パスワードを入力せずに認証するには、keytabファイルにプリンシパル認証情報を保存します。
手順
-
各ノードのキータブ・ファイルを作成して、プリンシパルのキーをノードごとに追加します。
kadmin: ktadd -k keytabfilename dse/FQDN kadmin: ktadd -k keytabfilename HTTP/FQDN
ここで、
ktadd -k
はDSEサービスとHTTPプリンシパルのキーを作成または追加書き込みします。たとえば、kadmin: ktadd -k /tmp/node1.keytab dse/node1.example.com kadmin: ktadd -k /tmp/node1.keytab HTTP/node1.example.com kadmin: ktadd -k /tmp/node2.keytab dse/node2.example.com kadmin: ktadd -k /tmp/node2.keytab HTTP/node2.example.com
-
各キータブ・ファイルのプリンシパルを表示するには、
klist
コマンドを使用します。例を次に示します。sudo klist -e -kt /tmp/node1.keytab
ここで、Keytab name: FILE:/tmp/node1.keytab KVNO Timestamp Principal ---- ---------------- ---------------------------------------------- 2 14/02/16 22:03 HTTP/node1FQDN@YOUR_REALM (des3-cbc-sha1) 2 14/02/16 22:03 HTTP/node1FQDN@YOUR_REALM (arcfour-hmac) 2 14/02/16 22:03 HTTP/node1FQDN@YOUR_REALM (des-hmac-sha1) 2 14/02/16 22:03 HTTP/node1FQDN@YOUR_REALM (des-cbc-md5) 2 14/02/16 22:03 dse/node1FQDN@YOUR_REALM (des3-cbc-sha1) 2 14/02/16 22:03 dse/node1FQDN@YOUR_REALM (arcfour-hmac) 2 14/02/16 22:03 dse/node1FQDN@YOUR_REALM (des-hmac-sha1) 2 14/02/16 22:03 dse/node1FQDN@YOUR_REALM (des-cbc-md5)
-e
は暗号化タイプを表示し、-kt
はキータブ・ファイルとそのタイムスタンプを表示します。 -
KDCサーバーからノードにキータブ・ファイルを配布します。DSE Kerberos構成を容易にするため、ファイル名が各ノードで同じであることを確認します。
scp /tmp/node1.keytab node_admin@node_hostname:/etc/dse/dse.keytab
-
dse.keytabのパーミッションを変更して、
dse_service_account
ユーザーだけがキータブ・ファイルの読み取りと書き込みを行えるようにします。sudo chown dse:dse /etc/dse/dse.keytab && sudo chmod 600 /etc/dse/dse.keytab