为 DAOS 第 2 层存储配置凭证库

在启用 DAOS 第 2 层存储之前,配置 Domino® 凭证库以存储用于连接到存储服务的凭证。

过程

  1. 请参阅您的存储服务供应商文档。为 Domino® 创建凭证,用于连接到存储服务。(您的存储服务可以为您执行此步骤)。
  2. 请参阅您的存储服务供应商文档。创建一个供 Domino® 使用的存储区。(您的存储服务可以为您执行此步骤)。多个 Domino® 服务器可以使用同一存储区。可以为存储区使用任意名称。以下 AWS 命令示例在端点 us-east-1 创建名称为 aws-hcl-dominocos 的存储区: 
    aws s3api create-bucket --bucket aws-hcl-dominocos --region us-east-1
  3. Domino® 中,完成以下步骤以创建 Domino® 凭证库,用于安全存储用于连接到存储服务的凭证。如果您具有现存凭证库(通常为 IBM_CredStore\credstore.nsf),虽然可以使用它,但必须使用随 Domino® 一起提供的 websecuritystore.ntf 替换设计。有关设置 Domino® 凭证库的详细信息,请参阅 Domino® 文档中的使用凭证库来共享凭证
    要在 Domino® 服务器上创建 Domino® 凭证库,请执行以下步骤:
    1. 在服务器控制台中,使用以下命令创建命名加密密钥 (NEK),该密钥已添加到服务器标识文件中。Domino® 使用该密钥加密存储在凭证库中的凭证。 
      KEYMGMT CREATE NEK <named key>
      其中,<named key> 是您赋予密钥的名称。例如: 
      KEYMGMT CREATE NEK credstorenek
      • 验证您是否在服务器控制台日志中看到类似于以下消息的消息,表明密钥创建成功:
        [024C:0008-3848] 04/16/2019 05:04:13.06 PM NEK > NEK credstorenek - 
Fingerprint 44A5 624A 65CD 1771 F274 4779 C7AB 2FE0 9671 BB30
[024C:0008-3848] NEK credstorenek created successfully
      • 记录显示的密钥指纹。
      .
    2. 在服务器控制台中,使用以下命令创建凭证库,该凭证库使用您创建的 NEK。 
      KEYMGMT CREATE CREDSTORE <nek>
      例如: 
      KEYMGMT CREATE CREDSTORE credstorenek
      验证:
      • 指纹与您在上一步中记录的指纹匹配。
      • 数据库 credstore.nsfDomino® \data\IBM_CredStore 目录中创建。
  4. 如果其他 Domino 服务器将在存储服务中使用同一存储区,则将这些服务器设置为使用凭证库:
    注: 建议将多个 Domino 服务器设置为在一个 Domino 集群中并共享一个存储区,因为这样可以简化对凭证库和凭证存储密钥的管理。
    1. 在创建凭证库的服务器的服务器控制台中,输入以下命令,以将 NEK 从服务器标识文件导出到 Domino 数据目录中的密钥文件: 
      KEYMGMT EXPORT NEK <nek> <nek>.key <password>
      例如: 
      KEYMGMT EXPORT NEK credstorenek credstorenek.key passw0rd
    2. 将密钥文件,例如 credstorenek.key,复制到其他 Domino 服务器的 Domino 数据目录。
    3. 在每个其他 Domino 服务器的服务器控制台中,输入以下命令以将 NEK 导入 server.id 文件: 
      KEYMGMT IMPORT NEK <nek>.key <password>
      例如: 
      KEYMGMT IMPORT NEK credstorenek.key passw0rd
    4. 在每个其他 Domino 服务器上创建凭证存储数据库的副本。
  5. 完成以下步骤,将存储服务凭证添加到 Domino® 凭证库中:
    1. 创建一个文本文件,例如 dominocred.txt,其中包含您在步骤 1 中创建的服务凭证。例如: 
      [dominocos]
aws_access_key_id = AWDOTJVLSIIGTJ7SJ489F
aws_secret_access_key = Flx9zD25RvyKQDKq5PjM521akIfPxtcaleW7Mtn

      括号中的名称 [dominocos] 用作凭证库中凭证的名称。完成过程 启用 DAOS 第 2 层存储 时指定该名称。

    2. 在 DAOS 服务器的服务器控制台中,使用以下命令将凭证添加到 Domino® 凭证库。 
      tell daosmgr S3 storecred <filename>
      其中,<filename> 是带凭证的文本文件的名称。
      例如: 
      tell daosmgr S3 storecred dominocred.txt

      凭证均添加到带命名凭证的凭证库中,例如,dominocos.。文本文件将在完成命令时删除。在控制台或日志文件中看不到任何凭证。