Installieren und Deinstallieren von CA ARCserve RHA › Vorbereiten der Umgebung für HA mit dem GSSnsupdate-Skript

Vorheriges Thema: Installieren des Managers

Nächstes Thema: Aktualisieren von CA ARCserve RHA

Vorbereiten der Umgebung für HA mit dem GSSnsupdate-Skript

Um High Availability-Szenarien in sicheren DNS-Zonendomänen auszuführen, müssen Sie Ihren UNIX- oder Linux-Server so konfigurieren, dass er die "DNS HOST A"-Datensätze für Master- und Replikatserver in Szenarien authentifizieren und ändern kann.

Sie können Ihre UNIX/Linux-Umgebung mit dem mitgelieferten, in PERL geschriebenen Skript für CA ARCserve RHA konfigurieren. Setzen Sie sich mit dem Support in Verbindung, um andere Versionen dieses Skripts zu erhalten.

Die folgenden Schritte sollten auf allen UNIX/Linux-Hosts in Ihrer Umgebung ausgeführt werden.

So bereiten Sie UNIX und Linux für HA in sicheren DNS-Zonendomänen vor

  1. Konfigurieren Sie den Linux-Host als einen Kerberos-Client. Nehmen Sie dazu an der Datei "/etc/krb5.conf" folgende Änderungen vor: 
    [libdefaults]
default_realm = <DOMAIN name i.e. XOSOFT.ORG>

[realms]
 <DOMAIN name> = {
  kdc = <DC Server fqdn>:88
  admin_server = <DNS Server fqdn>
  default_domain = <DOMAIN name i.e. XOSOFT.ORG>
 }

[domain_realm]
. <domain name >= <DOMAIN name>                i.e. .xosoft.org  =XOSOFT.ORG

    Beispiel einer bearbeiteten krb5.conf-Datei
  2. Erstellen Sie eine keytab-Datei mit ktpass auf dem Domänen-Controller, den Sie im vorhergehenden Schritt in "kdc" angegeben haben. Melden Sie sich mit einem Domänenadministratorkonto auf dem KDC an.

    Hinweis: Das ktpass-Hilfsprogramm wird unter Windows möglicherweise nicht standardmäßig geladen. Sie erhalten es bei den Windows-Supporttools. 

    ktpass -princ host/<ein von Ihnen gewählter Name@DOMÄNE> -mapuser <Dömänenadmin@DOMÄNE> -pass <Kennwort> -out c:\ <Dateiname>keytab -ptype KRB5_NT_PRINCIPAL

    Beispiel einer auf dem festgelegten DC erstellen ktpass keytab-Datei
  3. Übertragen Sie die keytab-Datei "<Dateiname>keytab" sicher auf den Linux-Host.
  4. Fügen Sie die keytab-Datei auf dem Linux-Host mithilfe des ktutil-Programms zu einer einzelnen Datei, "/etc/krb5.keytab", zusammen. Möglicherweise müssen Sie zunächst das Ktutil-Paket installieren. 
    [root@server01-1x1 bin]# ktutil

    ktutil:  rkt /root/ <Dateiname>keytab

    ktutil:  wkt /etc/krb5.keytab

    ktutil:  list

    ktutil: q

    Beispiel einer in eine einzelne Datei eingefügte keytab-Datei

  5. Stellen Sie sicher, dass die Zeiteinstellung auf dem Linux-Host mit dem NTP-Server oder Microsoft DNS-Server synchronisiert ist.
  6. Kopieren Sie das PERL-Skript "nsupdate-gss.pl" und installieren Sie jenes PERL-Bibliothekenset, das vom Skript benötigt wird. Diese PERL-Quellen finden Sie beispielsweise auf http://search.cpan.org. 
    perl-Digest-HMAC
perl-Net-IP
perl-Net-DNS
perl-GSSAPI
perl-Krb5…
  7. Ändern Sie den Prinzipalnamen der Kerberos-keytab im Skript "nsupdate-gss.pl", welches sich in /opt/CA/ARCserve RHA/ befindet, so dass er mit dem Namen übereinstimmt, den Sie oben ausgewählt haben, z. B. "host/xodemo". 
    #############################
my $sys_retcode = system("kinit -k host/xodemo");
if ($sys_retcode != 0) {
        print "Failt to create and cache Kerberos ticket through 'kinit'\n";
        exit 1;
}

    #############################
  8. Führen Sie den folgenden Test durch, um sicherzustellen, dass die Umgebung vorbereitet ist und das Skript sicher DNS A-Datensätze aktualisieren kann. 
    ./nsupdate-gss.pl 192.168.88.1 shagu01-RHEL5u3-x64 xosoft.org --add_ips=192.168.88.21 --ttl=60 --del_ips=192.168.88.31
  9. Definieren Sie das Skript "nsupdate-gss.pl" in der Datei "ws_rep.cfg", welche sich im Installationsverzeichnis in "/opt/CA/ARCserveRHA/bin" befindet, um eine sichere Aktualisierung für Microsoft DNS auszuführen. Entfernen Sie, wie im folgenden Beispiel, das #-Zeichen am Beginn der Zeile "GSSNsupdateScript = ". 
    ####################
# Script for secure update dynamically against MS DNS server on UNIX/Linux hosts
GSSNsupdateScript = "[INSTALLDIR]/scripts/nsupdate-gss.pl"
#
# User can ask for support at http://support.ca.com/ for help, or 
# define the script by shell or PERL with the arguments matching 
# GSSNsupdateScript NAME_SERVER HOST DOMAIN [options]
# Options:
#         --add_ips=IPS        target IPs for A records to be added
#         --ttl=TTL            TTL for the added A records
#         --del_ips=IPSS        target IPs for A records to be removed
  10. Beenden Sie den Prozess und starten Sie ihn neu. 
    /etc/init.d/ARCserveRHA stop

    /etc/init.d/ARCserveRHA start
  11. Wiederholen Sie diesen Vorgang für den anderen Host.