すべてのノードの認証に同じユーザーアカウントを使用できます。各ノードの SPN(サービスプリンシパル名)を含む keytab ファイルを作成する必要があります。keytab ファイルの作成時には、ソルト(ハッシュ関数修飾子)を生成するための属性を使用する必要があります。
新しい SPN を keytab ファイルに順次追加するには、生成されたソルトを任意の方法で保存する必要があります。
Kerberos 認証を構成する各クラスターノードに、個別の Active Directory ユーザーアカウントを作成することもできます。
keytab ファイルは、ドメインコントローラーサーバー上で、またはドメインを構成する Windows Server コンピューター上で、ドメイン管理者アカウントのもとで作成されます。
1 つのユーザーアカウントを使用して Squid サービス用の keytab ファイルを作成するには:
squid-user
という名前のユーザーアカウントを作成します。squid-user
用の keytab ファイルを作成します。この操作には、コマンドラインで以下のコマンドを実行します:C:\Windows\system32\ktpass.exe -princ HTTP/<Squid サービスを使用するサーバー名>@<大文字の Active Directory レルムのドメイン名>mapuser squid-user@<大文字の Active Directory レルムのドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <ファイルのパス>\<ファイル名>.keytab
Squid サービスをホストしているサーバーの名前は、「proxy.company.com
」のように小文字で指定する必要があります。
このコマンドを実行すると、squid-user
パスワードの入力を要求されます。
コントロールノードの SPN エントリは、作成された keytab ファイルに追加されます。生成されたソルトが表示されます:「ソルト「<ハッシュ値>」でハッシュ化されたパスワード
C:\Windows\system32\ktpass.exe -princ HTTP/<ノードの完全修飾ドメイン名(FQDN)>@<大文字の Active Directory レルムのドメイン名> -mapuser squid-user@<大文字の Active Directory レルムのドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <以前作成されたファイルのパスと名前>.keytab -out <パスと新しい名前>.keytab -setupn -setpass -rawsalt "<手順 3 で keytab ファイルを作成した時に取得したソルトのハッシュ値>"
このコマンドを実行すると、squid-user
パスワードの入力を要求されます。
Squid サービス用 keytab ファイルが作成されます。このファイルには、クラスターノードの SPN として追加した SPN がすべて含まれています。
例: たとえば、 コントロールノードの SPN を含む
ソルト「 もう 1 つ SPN を追加するには、次のコマンドを実行します:
3 番目の SPN を追加するには、次のコマンドを実行します:
これにより、「 |
各ノードに個別のユーザーアカウントを使用して Squid サーバー用の keytab ファイルを作成するには:
squid-user
、squid-user2
、squid-user3
などの名前のユーザーアカウント)。squid-user
用の keytab ファイルを作成します。この操作には、コマンドラインで以下のコマンドを実行します:C:\Windows\system32\ktpass.exe -princ HTTP/<小文字の Squid サービスを使用するサーバー名>@<大文字の Active Directory レルムのドメイン名> -mapuser squid-user@<大文字の Active Directory レルムのドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <ファイルのパス>\<ファイル名>.keytab
Squid サービスをホストしているサーバーの名前は、「proxy.company.com
」のように小文字で指定する必要があります。
このコマンドを実行すると、squid-user
パスワードの入力を要求されます。
コントロールノードの SPN エントリは、作成された keytab ファイルに追加されます。
C:\Windows\system32\ktpass.exe -princ HTTP/<ノードの完全修飾ドメイン名(FQDN)>@<大文字の Active Directory レルムのドメイン名> -mapuser squid-user2@<大文字の Active Directory レルムのドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <以前作成されたファイルのパスと名前>.keytab -out <パスと新しい名前>.keytab
このコマンドを実行すると、squid-user2
パスワードの入力を要求されます。
Squid サービス用 keytab ファイルが作成されます。このファイルには、クラスターノードの SPN として追加した SPN がすべて含まれています。
例: たとえば、 コントロールノードの SPN を含む
もう 1 つ SPN を追加するには、次のコマンドを実行します:
3 番目の SPN を追加するには、次のコマンドを実行します:
これにより、「 |