変換サービスのためのKerberosの有効化

Kerberosを使用する場合は、インストール後にそれを変換サービスのために手動で有効にする必要があります。

変換サービスでは、そのチケットを一定間隔で自動的にリフレッシュするために、Kerberosユーティリティk5startが必要となります。ない場合は、クラスタ内の他のKerberos対応サービスと通信できません。k5startは自動的にDgraphノードにインストールされますが、インストール後に手動ですべての変換サービス・ノードにコピーする必要があります。

変換サービスのためにKerberosを有効にするには、次の手順を実行します。

  1. Dgraphノードのいずれかで$BDD_HOME/dgraph/bin/からk5startをすべての変換サービス・ノード上の$BDD_HOME/transformservice/にコピーします。
  2. 各変換サービス・ノードで、$BDD_HOME/transformservice/から次のコマンドを実行することで、k5startを起動します。 
    ./k5start -f $KERBEROS_KEYTAB_PATH -K <ticket_refresh> 
-l <ticket_lifetime> $KERBEROS_PRINCIPAL -b > <logfile> 2>&1
    説明:
    • $KERBEROS_KEYTAB_PATHおよび$KERBEROS_PRINCIPALは、bdd.confで定義されているそれらのプロパティの値です。
    • <ticket_refresh>は、変換サービスのKerberosチケットがリフレッシュされる速度(分単位)です。たとえば、値が60の場合は、そのチケットは、60分毎または1時間毎にリフレッシュされるように設定されます。オプションで、bdd.confKERBEROS_TICKET_REFRESH_INTERVALの値を使用できます。
    • <ticket_lifetime>は、変換サービスのKerberosチケットが有効な時間です。これは、サポートされている時間単位smhまたはdを数値の後に付けて指定する必要があります。たとえば、10h (10時間)または10m (10分)となります。オプションで、bdd.confKERBEROS_TICKET_LIFETIMEの値を使用できます。
    • <logfile>は、k5startを書き込むログ・ファイルへの絶対パスです。
  3. オプションで、すべての変換サービス・ノード上でサービスとして実行されるよう、k5startを構成します。
    これにより、ノードの再起動後に自動的にそれを起動できます。そうでない場合は、変換サービス・ノードが再起動されるたびに、上のコマンドを再実行する必要があります。