Instalación y desinstalación de CA ARCserve RHA › Cómo preparar el entorno para alta disponibilidad con el script GSSnsupdate

Tema anterior: Instalación del gestor

Tema siguiente: Actualización de CA ARCserve RHA

Cómo preparar el entorno para alta disponibilidad con el script GSSnsupdate

Para ejecutar escenarios de alta disponibilidad en dominios seguros de Zona DNS, es necesario configurar el servidor UNIX o Linux para poder autenticar y cambiar los registros HOST de DNS A para los servidores máster y réplica en los escenarios.

Es posible configurar el entorno de UNIX/Linux para CA ARCserve RHA mediante el script incluido, que ha escrito PERL. Póngase en contacto con Soporte para obtener otras versiones de este script.

Debería realizar los pasos siguientes en todos los host de UNIX/Linux del entorno.

Para preparar los hosts de UNIX y Linux para alta disponibilidad en los dominios seguros de zona DNS

  1. Configure el host de Linux como un cliente de Kerberos. Para realizar esto, edite el archivo, /etc/krb5.conf y haga los cambios siguientes: 
    [libdefaults]
default_realm = <DOMAIN name i.e. XOSOFT.ORG>

[realms]
 <DOMAIN name> = {
  kdc = <DC Server fqdn>:88
  admin_server = <DNS Server fqdn>
  default_domain = <DOMAIN name i.e. XOSOFT.ORG>
 }

[domain_realm]
. <domain name >= <DOMAIN name>                i.e. .xosoft.org  =XOSOFT.ORG

    Ejemplo del archivo krb5.conf editado
  2. Cree un archivo keytab con ktpass en el controlador de dominio que se haya especificado en "kdc" en el paso anterior. Inicie sesión con una cuenta de administración de dominio en el centro de distribución de claves (KDC).

    Nota: Es posible que la utilidad de ktpass no se cargue en Windows de manera predeterminada. Se puede obtener del paquete Herramientas de soporte de Windows. 

    ktpass -princ host/<nombre de su elección@DOMINIO> -mapuser <administrador del dominio@DOMINIO> -pass <contraseña> -out c:\ <nombrearchivo>.keytab -ptype KRB5_NT_PRINCIPAL

    Ejemplo del archivo ktpass keytab creado en el DC especificado
  3. Transfiera de manera segura el archivo keytab <nombrearchivo>.keytab al host de Linux.
  4. En el host de Linux, combine el archivo keytab con un único archivo denominado /etc/krb5.keytab, mediante el programa Ktutil. Primeramente, es necesario instalar el paquete Ktutil. 
    [root@server01-1x1 bin]# ktutil

    ktutil:  rkt /root/ <nombrearchivo>.keytab

    ktutil:  wkt /etc/krb5.keytab

    ktutil:  list

    ktutil: q

    Ejemplo de archivo keytab combinado en un único archivo

  5. Asegúrese de que el tiempo de host de Linux se sincroniza en el servidor NTP o en Microsoft DNS Server.
  6. Copie el script nsupdate-gss.pl PERL e instale el conjunto de bibliotecas de PERL que requiere el script. Estos orígenes de PERL se pueden encontrar en http://search.cpan.org u otro RPM. 
    perl-Digest-HMAC
perl-Net-IP
perl-Net-DNS
perl-GSSAPI
perl-Krb5…
  7. Cambie el nombre principal de keytab de Kerberos en el script nsupdate-gss.pl que se ubica en /opt/CA/ARCserve RHA/ para coincidir con el nombre que se ha elegido previamente, por ejemplo, host/xodemo. 
    #############################
my $sys_retcode = system("kinit -k host/xodemo");
if ($sys_retcode != 0) {
        print "Failt to create and cache Kerberos ticket through 'kinit'\n";
        exit 1;
}

    #############################
  8. Ejecute la prueba siguiente para garantizar que el entorno esté preparado y que el script puede actualizar de manera segura los registros A de DNS. 
    ./nsupdate-gss.pl 192.168.88.1 shagu01-RHEL5u3-x64 xosoft.org --add_ips=192.168.88.21 --ttl=60 --del_ips=192.168.88.31
  9. Defina el script nsupdate-gss.pl en el archivo ws_rep.cfg ubicado en el directorio de instalación /opt/CA/ARCserveRHA/bin para realizar un actualización segura contra Microsoft DNS. Elimine el # delante de la línea GSSNsupdateScript =, tal y como se muestra abajo. 
    ####################
Script de # para una actualización segura de manera dinámica contra el servidor DNS de MS en los host de UNIX/Linux
GSSNsupdateScript = "[INSTALLDIR]/scripts/nsupdate-gss.pl"
#
El usuario # puede encontrar soporte en http://support.ca.com/ para obtener ayuda, o 
# define el script por shell o PERL con los argumentos que coinciden 
# GSSNsupdateScript NAME_SERVER HOST DOMAIN [options]
# Opciones:
#         --add_ips=IPS        los IP de destino para los registros A que deben agregarse
#         --ttl=TTL            TTL para los registros A agregados
#         --del_ips=IPS        los IP de destino para los registros A que deben eliminarse
  10. Detenga y reinicie el motor: 
    /etc/init.d/ARCserveRHA stop

    /etc/init.d/ARCserveRHA start
  11. Repita este procedimiento para el otro host.