Configuration d'un magasin de données d'identification pour le stockage DAOS niveau 2

Avant d'activer le stockage DAOS niveau 2, configurez un magasin de données d'identification Domino® pour stocker les données d'identification utilisées pour se connecter au service de stockage.

Procédure

  1. Reportez-vous à la documentation de votre fournisseur de service de stockage. Créez des données d'identification permettant à Domino® de se connecter au service de stockage. (Il est possible que votre service de stockage se charge de cette étape pour vous).
  2. Reportez-vous à la documentation de votre fournisseur de service de stockage. Créez un compartiment qui sera utilisé par Domino®. (Il est possible que votre service de stockage se charge de cette étape pour vous). Plusieurs serveurs Domino® peuvent utiliser le même compartiment. Vous pouvez donner n'importe quel nom à un compartiment. L'exemple de commande AWS suivant permet de créer un compartiment appelé aws-hcl-dominocos dans le nœud final us-east-1 : 
    aws s3api create-bucket --bucket aws-hcl-dominocos --region us-east-1
  3. Dans Domino®, procédez comme suit pour créer un magasin de données d'identification Domino® afin de stocker de manière sécurisée les données d'identification utilisées pour se connecter au service de stockage. Si vous disposez déjà d'un magasin de données d'identification (généralement IBM_CredStore\credstore.nsf), vous pouvez l'utiliser, mais vous devez remplacer la conception par websecuritystore.ntf fourni avec Domino® 11. Pour obtenir des informations détaillées sur la configuration d'un magasin de données d'identification Domino®, consultez la section Utilisation d'un magasin de données d'identification pour partager des données d'identification dans la documentation Domino®.
    Pour créer un magasin de données d'identification Domino® sur un serveur Domino®, procédez comme suit :
    1. Depuis la console du serveur, tapez la commande suivante pour créer une clé de chiffrement nommée, qui est ajoutée au fichier d'ID du serveur. Domino® se sert de la clé pour chiffrer les données d'identification stockées dans le magasin de données d'identification. 
      KEYMGMT CREATE NEK <named key>
      <named key> est un nom que vous donnez à la clé. Par exemple : 
      KEYMGMT CREATE NEK credstorenek
      • Vérifiez qu'un message similaire au message suivant s'affiche dans le journal de la console du serveur, indiquant que la clé a bien été créée :
        [024C:0008-3848] 04/16/2019 05:04:13.06 PM NEK > NEK credstorenek - 
Fingerprint 44A5 624A 65CD 1771 F274 4779 C7AB 2FE0 9671 BB30
[024C:0008-3848] NEK credstorenek created successfully
      • Notez l'empreinte de la clé qui s'affiche.
      .
    2. Depuis la console du serveur, tapez la commande suivante pour créer un magasin de données d'identification à l'aide de la clé de chiffrement nommée que vous avez créée. 
      KEYMGMT CREATE CREDSTORE <nek>
      Par exemple : 
      KEYMGMT CREATE CREDSTORE credstorenek
      Vérifiez que :
      • L'empreinte correspond à celle vous avez relevée à l'étape précédente.
      • La base de données credstore.nsf est créée dans l'annuaire Domino® \data\IBM_CredStore.
  4. Si d'autres serveurs Domino doivent utiliser le même compartiment du service de stockage, configurez ces serveurs afin qu'ils utilisent le magasin de données d'identification :
    Remarque : Il est recommandé de configurer plusieurs serveurs Domino afin qu'ils soient regroupés en une seule grappe Domino et partagent le même compartiment, car cela simplifie la gestion du magasin de données d'identification et de la clé du magasin de données d'identification.
    1. Depuis la console serveur du serveur sur lequel vous avez créé le magasin de données d'identification, saisissez la commande suivante pour exporter la clé de chiffrement nommée du fichier ID serveur vers un fichier de clés dans le répertoire de données Domino : 
      KEYMGMT EXPORT NEK <nek> <nek>.key <password>
      Par exemple : 
      KEYMGMT EXPORT NEK credstorenek credstorenek.key passw0rd
    2. Copiez le fichier de clés (par exemple credstorenek.key) vers le répertoire de données Domino sur les autres serveurs Domino.
    3. Depuis la console serveur de chaque autre serveur Domino, saisissez la commande suivante pour importer la clé de chiffrement nommée dans le fichier server.id : 
      KEYMGMT IMPORT NEK <nek>.key <password>
      Par exemple : 
      KEYMGMT IMPORT NEK credstorenek.key passw0rd
    4. Créez une réplique de la base de données du magasin de données d'identification sur chaque autre serveur Domino.
  5. Procédez comme suit pour ajouter les données d'identification du service de stockage au magasin de données d'identification Domino®.
    1. Créez un fichier texte (par exemple, dominocred.txt) qui contient les données d'identification du service que vous avez créées à l'étape 1. Exemple : 
      [dominocos]
aws_access_key_id = AWDOTJVLSIIGTJ7SJ489F
aws_secret_access_key = Flx9zD25RvyKQDKq5PjM521akIfPxtcaleW7Mtn

      Le nom entre crochets [dominocos] est utilisé en tant que nom de la donnée d'identification dans le magasin de données d'identification. Vous spécifiez ce nom lorsque vous effectuez la procédure Activation du stockage DAOS niveau 2.

    2. Depuis la console d'un serveur DAOS, tapez la commande suivante pour ajouter les données d'identification au magasin de données d'identification Domino®. 
      tell daosmgr S3 storecred <filename>
      <filename> est le nom du fichier texte contenant les données d'identification.
      Par exemple : 
      tell daosmgr S3 storecred dominocred.txt

      Les données d'identification sont ajoutées au magasin de données d'identification avec les données d'identification nommées (par exemple, dominocos.). Le fichier texte est supprimé une fois la commande exécutée. Aucune donnée d'identification n'est visible dans la console ni dans les fichiers journaux.