DAOS Tier 2 ストレージの資格情報ストアの構成
Domino 資格情報ストアを構成して、ストレージサービスへの接続に使用する資格情報を保存します。
手順
- ストレージサービスベンダーの資料を参照してください。ストレージサービスへの接続に使用する Domino® の資格情報を作成します。
-
ストレージサービスベンダーの資料を参照してください。使用する Domino のバケットを作成します。複数の Domino サーバーで同じバケットを使用できます。バケットには任意の名前を使用できます。次の AWS コマンド例では、エンドポイント us-east-1 に aws-hcl-dominocos という名前のバケットが作成されます。
手順 DAOS Tier 2 ストレージの有効化 の完了時にこの情報を指定します。aws s3api create-bucket --bucket aws-hcl-dominocos --region us-east-1
-
Domino では、次のステップを完了して、Domino 資格情報ストアを作成し、ストレージサービスへの接続に使用する資格情報を安全に保存します。既存の資格情報ストアがある場合は (通常は IBM_CredStore\credstore.nsf) それを使用できますが、Domino 11 を搭載した websecuritystore.ntf で設計を置き換える必要があります。Domino 資格情報ストアの設定の詳細については、Domino 資料の「資格情報ストアを使用して共有資格情報を保存する」を参照してください。
Domino サーバーで Domino 資格情報ストアを作成するには次の手順に従います。
-
サーバーコンソールで、次のコマンドを使用して、サーバー ID ファイルに追加する名前付き暗号鍵 (NEK) を作成します。Domino は、この鍵を使用して資格情報ストアに保存する資格情報を暗号化します。
KEYMGMT CREATE NEK <named key>
ここで<named key>
は鍵につけた名前です。例:KEYMGMT CREATE NEK credstorenek
- サーバーコンソールのログのメッセージが、鍵が正常に作成されたことを示す次のメッセージと同様であることを確認してください。
[024C:0008-3848] 04/16/2019 05:04:13.06 PM NEK > NEK credstorenek - Fingerprint 44A5 624A 65CD 1771 F274 4779 C7AB 2FE0 9671 BB30 [024C:0008-3848] NEK credstorenek created successfully
- 表示されている鍵の指紋をメモします。
- サーバーコンソールのログのメッセージが、鍵が正常に作成されたことを示す次のメッセージと同様であることを確認してください。
-
サーバーコンソールで、次のコマンドを使用して、作成した NEK を使用する資格情報ストアを作成します。
例:KEYMGMT CREATE CREDSTORE <nek>
以下のことを確認してください。KEYMGMT CREATE CREDSTORE credstorenek
- 表示される指紋は前の手順でメモしたものと一致します。
- データベース credstore.nsf が Domino \data\IBM_CredStore ディレクトリに作成されます。
-
サーバーコンソールで、次のコマンドを使用して、サーバー ID ファイルに追加する名前付き暗号鍵 (NEK) を作成します。Domino は、この鍵を使用して資格情報ストアに保存する資格情報を暗号化します。
-
追加の Domino サーバーがストレージサービス内で同じバケットを使用する場合は、資格情報ストアを使用するようにそれらのサーバーを設定します。
注: 資格情報ストアと資格情報ストア鍵の管理を容易にするため、一つの Domino クラスタ内に複数の Domino サーバーを設定して一つのバケットを共有することをお勧めします。
- 資格情報ストアを作成したサーバーのサーバーコンソールで、次のコマンドを入力して、サーバー ID ファイルから Domino データディレクトリのキーファイルへ NEK をエクスポートします。
例:KEYMGMT EXPORT NEK <nek> <nek>.key <password>
KEYMGMT EXPORT NEK credstorenek credstorenek.key passw0rd
- キーファイル (
credstorenek.key
など) を他の Domino サーバー上の Domino データディレクトリへコピーします。 - 追加の各 Domino サーバーのサーバーコンソールで、次のコマンドを入力して、NEK を server.id ファイルにインポートします。
例:KEYMGMT IMPORT NEK <nek>.key <password>
KEYMGMT IMPORT NEK credstorenek.key passw0rd
- 追加の各 Domino サーバーで資格情報ストアデータベースの複製を作成します。
- 資格情報ストアを作成したサーバーのサーバーコンソールで、次のコマンドを入力して、サーバー ID ファイルから Domino データディレクトリのキーファイルへ NEK をエクスポートします。
-
次のステップを完了して、Domino 資格情報ストアにストレージサービス資格情報を追加します。
-
ステップ 1 で作成したサービス資格情報を含むテキストファイル (例えば dominocred.txt) を作成します。例:
[dominocos] aws_access_key_id = AWDOTJVLSIIGTJ7SJ489F aws_secret_access_key = Flx9zD25RvyKQDKq5PjM521akIfPxtcaleW7Mtn
角括弧 [dominocos] 内の名前は資格情報ストアで資格情報の名前として使用されます。この名前は手順 DAOS Tier 2 ストレージの有効化 の完了時に指定できます。
-
DAOS サーバーのサーバーコンソールで、次のコマンドを入力して、Domino 資格情報ストアに資格情報を追加します。
ここでtell daosmgr S3 storecred <filename>
<filename>
は資格情報を含むテキストファイルの名前です。例:tell daosmgr S3 storecred dominocred.txt
資格情報は、資格情報に名前を付けて (例えば
dominocos.
) を含む資格情報ストアに追加されます。テキストファイルはコマンドの完了時に削除されます。コンソールおよびログファイルには資格情報は表示されません。
-
ステップ 1 で作成したサービス資格情報を含むテキストファイル (例えば dominocred.txt) を作成します。例: