安裝及解除安裝 CA ARCserve RHA › 以 GSSnsupdate 指令檔準備環境

以 GSSnsupdate 指令檔準備環境

若要在安全的 DNS 區網域中執行高可用性案例，您必須設定 UNIX 或 Linux 伺服器，使其能夠驗證並變更案例中 [主要] 和 [複本] 伺服器的 DNS HOST A 記錄。

您可以透過包含的指令檔 (PERL 編寫) 設定您的 UNIX/Linux 環境。 與支援聯繫以取得這個指令檔的其他版本。

下列步驟必須於環境中所有的 UNIX/Linux 主機上執行。

若要在安全的 DNS 區網域中準備 UNIX 和 Linux 主機

1. 將 Linux 主機設定為 Kerberos 用戶端。 做法是編輯 /etc/krb5.conf 檔，進行下列變更：

   [libdefaults]
   default_realm = <DOMAIN name i.e. XOSOFT.ORG>
   
   [realms]
    <DOMAIN name> = {
     kdc = <DC Server fqdn>:88
     admin_server = <DNS Server fqdn>
     default_domain = <DOMAIN name i.e. XOSOFT.ORG>
    }
   
   [domain_realm]
   . <domain name >= <DOMAIN name>                i.e. .xosoft.org  =XOSOFT.ORG
   

   

2. 以 ktpass 在您於上一步驟中 "kdc" 中指定的網域控制器上建立一個 keytab 檔案。 登入在 KDC 上的網域管理帳戶下。

   附註：按預設 ktpass 公用程式不一定會載入到 Windows 上。 您可以從 Windows 支援工具套件中找到它。

   ktpass -princ host/<您選擇的名稱@DOMAIN> -mapuser <domain admin@DOMAIN> -pass <密碼> -out c:\ <filename>.keytab -ptype KRB5_NT_PRINCIPAL
   

   

3. 將 keytab 檔案 <filename>.keytab 安全地傳輸到 Linux 主機。
4. 在 Linux 主機上，將 keytab 檔案透過 ktutil 程式結合為一個稱為 /etc/krb5.keytab 的檔案。 您可能需要先安裝 Ktutil 套件。

   [root@server01-1x1 bin]# ktutil
   

   ktutil:  rkt /root/ <filename>.keytab
   

   ktutil:  wkt /etc/krb5.keytab
   

   ktutil:  list
   

   ktutil: q
   

   

5. 確認 Linux 主機時間與 NTP 伺服器或是 Microsoft DNS 伺服器同步。
6. 複製 nsupdate-gss.pl PERL 指令檔並安裝指令檔要求的 PERL 程式庫組。 這些 PERL 來源可以在 http://search.cpan.org 或其他 RPM 上找到。

   perl-Digest-HMAC
   perl-Net-IP
   perl-Net-DNS
   perl-GSSAPI
   perl-Krb5…
   

7. 將位於 /opt/CA/ARCserve RHA/ 中 nsupdate-gss.pl 檔裡的 Kerberos keytab 主要名稱變更為符合您在上面選擇的名稱，例如，host/xodemo。

   #############################
   my $sys_retcode = system("kinit -k host/xodemo");
   if ($sys_retcode != 0) {
           print "Failt to create and cache Kerberos ticket through 'kinit'\n";
           exit 1;
   }
   

   #############################
   

8. 執行下列測試以確認環境已就緒且指令檔可以安全地更新 DNS A 記錄。

   ./nsupdate-gss.pl 192.168.88.1 shagu01-RHEL5u3-x64 xosoft.org --add_ips=192.168.88.21 --ttl=60 --del_ips=192.168.88.31
   

9. 將位於安裝目錄 /opt/CA/ARCserveRHA/bin 中 ws_rep.cfg 檔案中的 nsupdate-gss.pl 指令檔定義為依據 Microsoft DNS 執行安全更新。 移除在 "GSSNsupdateScript = " 行之前的井字號 (#)，如下所示。

   ####################
   # 動態地根據 UNIX/Linux 主機上 MS DNS 伺服器安全更新的指令檔。
   GSSNsupdateScript = "[INSTALLDIR]/scripts/nsupdate-gss.pl"
   #
   # 使用者可造訪 http://support.ca.com/ 以尋求協助，或 
   # 以 Shell 或 PERL 定義指令檔，包含符合以下的參數 
   # GSSNsupdateScript NAME_SERVER HOST DOMAIN [options]
   # 選項：
   #         --add_ips=IPS        待新增 A 記錄的目標 IP
   #         --ttl=TTL            已新增 A 記錄的 TTL
   #         --del_ips=IPS        待移除 A 記錄的目標 IP
   

10. 停止再重新啟動引擎：

    /etc/init.d/ARCserveRHA stop
    

    /etc/init.d/ARCserveRHA start
    

11. 對其他主機重複執行此步驟。