ノードを準備する

手順

1. クラスタノードによって使用される KDC (Key Distribution Center) サーバーを構成します。

   詳細は、Solaris Kerberos/SEAM (Sun Enterprise Authentication Mechanism) のマニュアルを参照してください。

2. 時間の同期を設定します。

   KDC サーバーは、クラスタノードとの間と、クラスタの Sun Cluster HA for NFS サービスを利用するすべてのクライアントとの間で、時間の同期をとる必要があります。NTP (Network Time Protocol) メソッドはほかのメソッドよりもはるかに密な時間補正を行うため、時間同期の信頼性が高いと言えます。この高い信頼性のメリットを得るには、時間同期に NTP を使用してください。

3. DNS クライアント構成の検証を行います。

   DNS クライアント構成は、すべてのクラスタノードと、クラスタのセキュア NFS サービスを利用するすべての NFS クライアント上で稼働する確実なものである必要があります。DNS クライアント構成の検証には resolv.conf(4) を使用してください。

   DNS ドメイン名は、krb5.conf(4) ファイルの domain_realm セクションに DNS ドメイン名をマッピングして、Kerberos 構成に認識させる必要があります。

   次に、Kerberos レルム (realm) ACME.COM に DNS ドメイン名 mydept.company.com をマッピングする例を示します。

   [domain_realm]
   .mydept.company.com = ACME.COM

4. クラスタノード上に Kerberos クライアントソフトウェアを構成する場合は、Master KDC サーバーが稼働するようにします。

5. 同一の構成ファイルと同一のサービスキーテーブルファイルがすべてのクラスタノードで利用できるようにします。

   /etc/krb5/krb5.conf ファイルは、すべてのクラスタノードで同じ構成にする必要があります。また、デフォルトの Kerberos キータブファイル (サービスキーテーブル) である /etc/krb5/krb5.keytab も、すべてのクラスタノードで同じ構成にする必要があります。これは、ファイルをすべてのクラスタノードにコピーするか、あるいは各ファイルの単一のコピーを広域ファイルシステム上に置き、すべてのクラスタノード上の /etc/krb5/krb5.conf と /etc/krb5/krb5.keytab にシンボリックリンクをインストールすることによって実現できます。

   また、フェイルオーバーファイルシステムを使用し、すべてのクラスタノードでファイルが利用できるようにすることも可能です。しかし、フェイルオーバーファイルシステム上の各ファイルを認識できるのは、一度に 1 つのノードだけです。したがって、複数のノードでマスターされている可能性がある複数のリソースグループで Sun Cluster HA for NFS が使用されている場合は、すべてのクラスタノードファイルを認識できません。また、この構成では、Kerberos クライアントの管理作業が複雑になります。

6. ファイル /etc/nfssec.conf 内のすべての Kerberos 関連エントリがコメント解除されていることを確認します。

   すべてのクラスタノードと、クラスタのセキュア NFS サービスを使用するように設定されたすべての NFS クライアント上で、ファイル /etc/nfssec.conf 内のすべての Kerberos 関連エントリがコメント解除される必要があります。nfssec.conf(4) を参照してください。