Manage Kerberos
Действие Manage Kerberos
Действие Manage Kerberos позволяет включать, реконфигурировать и отключать Kerberos. Для его запуска потребуется установленный ADO-кластер (см. Установка Arenadata Orchestrator) и один или несколько Центров Распределения Ключей (Key Distribution Center, KDC). Прежде чем приступать к управлению Kerberos, рекомендуется прочитать статью Обзор Kerberos о требованиях для керберизации.
Среди прочего, Manage Kerberos создано для реализации следующих сценариев:
-
Включение Kerberos без данных администратора с помощью существующего клиента, принципалов и/или keytab-файлов.
-
Быстрый перевод кластера из состояния kerberized в cостояние non-kerberized в случае возникновения ошибки в начале процесса керберизации (например, неверные данные kadmin) без необходимости реконфигурации сервисов, удаления принципалов и keytab-файлов.
-
Отложенная реконфигурация сервисов — возможность сконфигурировать Kerberos в моменте, а реконфигурировать и перезапустить сервисы позже.
Для запуска действия в веб-интерфейсе ADCM перейдите на страницу Clusters. Выберите установленный и подготовленный кластер ADO и запустите действие Manage Kerberos.
В появившемся окне будет предложено несколько опций для запуска действия:
-
С помощью существующего MIT KDC.
-
С помощью существующей MS Active Directory.
-
С помощью существующей FreeIPA.
-
С помощью существующей Samba.
-
С помощью опции Custom kerberization settings.
Каждую из этих опций можно совместить с опцией Custom kerberization settings.
|
ВАЖНО
Запуск действия Manage Kerberos с выбранным KDC автоматически активирует Kerberos.
|
Опция Custom kerberization settings
Опция Custom kerberization settings позволяет пользователю выбирать шаги керберизации, например, создание принципалов и keytab-файлов.
| Параметр | Описание | Значение по умолчанию |
|---|---|---|
Set up Kerberos utils |
Активирует возможность устанавливать и удалять клиенты и утилиты Kerberos. Данный параметр учитывается в действиях Expand и Install |
True |
Configure Kerberos on hosts |
Активирует возможность конфигурировать кластер, включая krb5.conf, ldap.conf |
True |
Set up principals and keytabs |
Активирует возможность создавать, пересоздавать и удалять принципалов и keytab-файлы. Пароли для принципалов генерируются случайным образом перед созданием keytab-файлов. Данный параметр учитывается в действиях Expand и Install. Бандл ADCM установит owner и разрешения для keytab-файлов только если этот флаг установлен. В случае отсутствия прав администратора пользователь должен предоставить подготовленный keytab-файл с правильно установленными owner и разрешениями |
True |
Configure services and clients |
Активирует возможность обновлять конфигурации сервисов и клиентов |
True |
Run service checks |
Активирует возможность проводить проверку сервисов |
True |