Instalando e desinstalando o CA ARCserve RHA › Prepare o ambiente de alta disponibilidade com o script GSSnsupdate

Tópico anterior: Instalando o gerenciador

Próximo tópico: Atualizando o CA ARCserve RHA

Prepare o ambiente de alta disponibilidade com o script GSSnsupdate

Para executar os cenários de alta disponibilidade em domínios seguros de zona DNS, é necessário configurar o servidor UNIX ou Linux, de modo que seja possível autenticar e alterar os registros do DNS HOST A para os servidores mestre e de réplica nos cenários.

É possível configurar o ambiente UNIX/Linux do CA ARCserve RHA usando o script incluído, criado em PERL. Entre em contato com o suporte para obter outras versões deste script.

As etapas a seguir devem ser feitas em todos os hosts do UNIX/Linux em seu ambiente.

Para preparar hosts de UNIX e Linux de alta disponibilidade em domínios seguros de zona DNS

  1. Configure o host do Linux como um cliente do Kerberos. Para fazer isso, edite o arquivo /etc/krb5.conf e faça as seguintes alterações: 
    [libdefaults]
default_realm = <nome do DOMINIO, por exemplo, XOSOFT.ORG>

[realms]
 <nome do DOMINIO> = {
  kdc = <DC Server fqdn>:88
  admin_server = <DNS Server fqdn>
  default_domain = <nome do DOMINIO, por exemplo, XOSOFT.ORG>
 }

[domain_realm]
. <nome do dominio>= <nome do DOMINIO>                por exemplo, .xosoft.org  =XOSOFT.ORG

    Exemplo de arquivo krb5.conf editado
  2. Crie um arquivo keytab com o comando ktpass no controlador de domínios especificado em "kdc" na etapa anterior. Efetue logon com uma conta de administrador do domínio no KDC.

    Observação: o utilitário ktpass não pode ser carregado no Windows por padrão. É possível obtê-lo a partir do pacote Ferramentas de Suporte do Windows. 

    ktpass -princ host/<nome@DOMAIN> -mapuser <administrador do domínio@DOMAIN> -pass <senha> -out c:\ <nome do arquivo>.keytab -ptype KRB5_NT_PRINCIPAL

    Exemplo de arquivo keytab ktpass criado no DC especificado
  3. Transfira o arquivo keytab <nome do arquivo>.keytab para o host do Linux com segurança.
  4. No host do Linux, combine o arquivo keytab em um único arquivo denominado /etc/krb5.keytab usando o programa ktutil. Talvez seja necessário instalar o pacote ktutil primeiro. 
    [root@server01-1x1 bin]# ktutil

    ktutil:  rkt /root/ <nome do arquivo>.keytab

    ktutil:  wkt /etc/krb5.keytab

    ktutil:  list

    ktutil: q

    Exemplo de arquivo keytab mesclado em um único arquivo

  5. Verifique se o horário do Linux está sincronizado com o servidor NTP ou com o servidor Microsoft DNS.
  6. Copie o script PERL do arquivo nsupdate-gss.pl e instale o conjunto de bibliotecas PERL necessárias a ele. Essas fontes de PERL podem ser encontradas no site http://search.cpan.org ou em outro RPM. 
    perl-Digest-HMAC
perl-Net-IP
perl-Net-DNS
perl-GSSAPI
perl-Krb5…
  7. Altere o nome principal do arquivo keytab do Kerberos no script nsupdate-gss.pl localizado em /opt/CA/ARCserve RHA/ para que seja compatível com o nome escolhido acima, por exemplo, host/xodemo. 
    #############################
my $sys_retcode = system("kinit -k host/xodemo");
if ($sys_retcode != 0) {
        print "Failt to create and cache Kerberos ticket through 'kinit'\n";
        exit 1;
}

    #############################
  8. Execute o seguinte teste para garantir que o ambiente esteja pronto, e que o script possa atualizar os registros do DNS A com segurança. 
    ./nsupdate-gss.pl 192.168.88.1 shagu01-RHEL5u3-x64 xosoft.org --add_ips=192.168.88.21 --ttl=60 --del_ips=192.168.88.31
  9. Defina o script nsupdate-gss.pl script no arquivo ws_rep.cfg localizado no diretório de instalação /opt/CA/ARCserveRHA/bin para executar uma atualização segura com o Microsoft DNS. Remova o # da frente da linha "GSSNsupdateScript = " como mostrado a seguir. 
    ####################
# Script para fazer a atualização segura de maneira dinâmica no servidor MS DNS em hosts do UNIX/Linux
GSSNsupdateScript = "[INSTALLDIR]/scripts/nsupdate-gss.pl"
#
# O usuário pode solicitar suporte para obter ajuda em http://support.ca.com/ ou 
# definir o script pelo shell ou PERL com os argumentos correspondentes 
# GSSNsupdateScript NAME_SERVER HOST DOMAIN [options]
# Opções:
#         --add_ips=IPS        IPs de destino para registros A a serem adicionados
#        --ttl=TTL            TTL para a adição de registros A
#         --del_ips=IPS        IPs de destino para registros A a serem removidos
  10. Interrompa e reinicie o mecanismo: 
    /etc/init.d/ARCserveRHA stop

    /etc/init.d/ARCserveRHA start
  11. Repita esse procedimento para o outro host.