Kerberos Keytabファイルの作成

毎回パスワードを入力せずに認証するには、keytabファイルにプリンシパル認証情報を保存します。

認証情報を取得し、毎回パスワードを入力せずに認証するには、keytabファイルにプリンシパル認証情報を保存します。

手順

  1. 各ノードのキータブ・ファイルを作成して、プリンシパルのキーをノードごとに追加します。 
    kadmin: ktadd -k keytabfilename dse/FQDN
kadmin: ktadd -k keytabfilename HTTP/FQDN

    ここで、ktadd -kはDSEサービスとHTTPプリンシパルのキーを作成または追加書き込みします。

    たとえば、
    kadmin: ktadd -k /tmp/node1.keytab dse/node1.example.com
kadmin: ktadd -k /tmp/node1.keytab HTTP/node1.example.com
kadmin: ktadd -k /tmp/node2.keytab dse/node2.example.com
kadmin: ktadd -k /tmp/node2.keytab HTTP/node2.example.com
  2. 各キータブ・ファイルのプリンシパルを表示するには、klistコマンドを使用します。
    例を次に示します。
    sudo klist -e -kt /tmp/node1.keytab
    
Keytab name: FILE:/tmp/node1.keytab
KVNO Timestamp        Principal
---- ---------------- ----------------------------------------------
2    14/02/16 22:03   HTTP/node1FQDN@YOUR_REALM (des3-cbc-sha1)
2    14/02/16 22:03   HTTP/node1FQDN@YOUR_REALM (arcfour-hmac)
2    14/02/16 22:03   HTTP/node1FQDN@YOUR_REALM (des-hmac-sha1)
2    14/02/16 22:03   HTTP/node1FQDN@YOUR_REALM (des-cbc-md5)
2    14/02/16 22:03   dse/node1FQDN@YOUR_REALM (des3-cbc-sha1)
2    14/02/16 22:03   dse/node1FQDN@YOUR_REALM (arcfour-hmac)
2    14/02/16 22:03   dse/node1FQDN@YOUR_REALM (des-hmac-sha1)
2    14/02/16 22:03   dse/node1FQDN@YOUR_REALM (des-cbc-md5)
    ここで、-eは暗号化タイプを表示し、-ktはキータブ・ファイルとそのタイムスタンプを表示します。
  3. KDCサーバーからノードにキータブ・ファイルを配布します。DSE Kerberos構成を容易にするため、ファイル名が各ノードで同じであることを確認します。 
    scp /tmp/node1.keytab node_admin@node_hostname:/etc/dse/dse.keytab
  4. dse.keytabのパーミッションを変更して、dse_service_accountユーザーだけがキータブ・ファイルの読み取りと書き込みを行えるようにします。 
    sudo chown dse:dse /etc/dse/dse.keytab && sudo chmod 600 /etc/dse/dse.keytab