F Oracle NoSQL Databaseサービス・プリンシパルの手動登録
securityconfigツールを使用すると、各ストレージ・ノードからKerberos管理インタフェースにリモートでアクセスできることを前提として、サービス・プリンシパルを作成し、キータブを生成できます。これは、ほとんどのKerberosデプロイメントに用意されている標準的な構成ですが、非標準構成を使用することが必要になる場合もあります。KDCホストでkadmin.localまたはktutilユーティリティのみを使用して、サービス・プリンシパルを管理できます。
kadmin.localを使用してOracle NoSQL Databaseサービス・プリンシパルを登録するには、次のようにします。
-
サービス・プリンシパルを登録します。
kadmin.local: addprinc -randkey nosql/abc.example.com -
ktaddコマンドを使用して、キータブ・ファイルを抽出します。kadmin.local: ktadd –norandkey –k keytab nosql/abc.example.com -
klistツールを使用して、生成されたキータブのエントリを検証します。klist –k –e /tmp/keytab Keytab name: FILE:keytab KVNO Principal ---- ------------------------------------------------ 12 nosql/abc.example.com@EXAMPLE.COM (AES-128 CTS mode with 96-bit SHA-1 HMAC) 12 nosql/abc.example.com@EXAMPLE.COM (AES-256 CTS mode with 96-bit SHA-1 HMAC) -
Oracle NoSQL Databaseサーバー・プリンシパルのキータブを各ストレージ・ノードにコピーします。デフォルトの場所はkvroot/securityの下です。セキュリティ・ディレクトリを作成する必要があります。
-
makebootconfigまたはsecurityconfigユーティリティを実行して、残りのKerberosセキュリティ構成を完了します。
ktutilユーティリティを使用してOracle NoSQL Databaseサービス・プリンシパルを登録するには、次のようにします。
-
プリンシパル・エントリを追加します。
ktutil: add_entry –password –p \ nosql/abc.example.com –k 1 –e aes128-cts-hmac-sha1-96 Password for nosql/abc.example.com@EXAMPLE.COM: ktutil:add_entry –password –p nosql/abc.example.com \ –k 1 –e aes256-cts-hmac-sha1-96 Password for nosql/abc.example.com@EXAMPLE.COM -
現在のキーリストをキータブ・ファイルに書き込みます。
Ktutil: write_kt keytab -
klistツールを使用して、生成されたキータブのエントリを検証します。klist –k –e /tmp/keytab Keytab name: FILE:keytab KVNO Principal ---- ------------------------------------------------ 12 nosql/abc.example.com@EXAMPLE.COM (AES-128 CTS mode with 96-bit SHA-1 HMAC) 12 nosql/abc.example.com@EXAMPLE.COM (AES-256 CTS mode with 96-bit SHA-1 HMAC) -
Oracle NoSQL Databaseサーバー・プリンシパルのキータブを各ストレージ・ノードにコピーします。デフォルトの場所はkvroot/securityの下です。セキュリティ・ディレクトリを作成する必要があります。
-
makebootconfigまたはsecurityconfigユーティリティを実行して、残りのKerberosセキュリティ構成を完了します。