DAOS Tier 2 ストレージの資格情報ストアの構成

DAOS Tier 2 ストレージを有効化する前に、Domino® 資格情報ストアを構成して、ストレージサービスへの接続に使用する資格情報を保存します

手順

  1. ストレージサービスベンダーの資料を参照してください。ストレージサービスへの接続に使用する Domino® の資格情報を作成します。(このステップはストレージサービスによって自動的に行われる場合があります)。
  2. ストレージサービスベンダーの資料を参照してください。使用する Domino® のバケットを作成します。(このステップはストレージサービスによって自動的に行われる場合があります)。複数の Domino® サーバーで同じバケットを使用できます。バケットには任意の名前を使用できます。次の AWS コマンド例では、エンドポイント us-east-1aws-hcl-dominocos という名前のバケットが作成されます。
    aws s3api create-bucket --bucket aws-hcl-dominocos --region us-east-1
  3. Domino® では、次のステップを完了して、Domino® 資格情報ストアを作成し、ストレージサービスへの接続に使用する資格情報を安全に保存します。既存の資格情報ストアがある場合は (通常は IBM_CredStore\credstore.nsf) それを使用できますが、Domino® 11 を搭載した websecuritystore.ntf で設計を置き換える必要があります。Domino® 資格情報ストアの設定の詳細については、Domino® 資料の「資格情報ストアを使用して共有資格情報を保存する」を参照してください。
    Domino® サーバーで Domino® 資格情報ストアを作成するには次の手順に従います。
    1. サーバーコンソールで、次のコマンドを使用して、サーバー ID ファイルに追加する名前付き暗号鍵 (NEK) を作成します。Domino® は、この鍵を使用して資格情報ストアに保存する資格情報を暗号化します。
      KEYMGMT CREATE NEK <named key>
      ここで <named key> は鍵につけた名前です。以下に例を示します。
      KEYMGMT CREATE NEK credstorenek
      • サーバーコンソールのログのメッセージが、鍵が正常に作成されたことを示す次のメッセージと同様であることを確認してください。
        [024C:0008-3848] 04/16/2019 05:04:13.06 PM NEK > NEK credstorenek - 
        Fingerprint 44A5 624A 65CD 1771 F274 4779 C7AB 2FE0 9671 BB30
        [024C:0008-3848] NEK credstorenek created successfully
      • 表示されている鍵の指紋をメモします。
    2. サーバーコンソールで、次のコマンドを使用して、作成した NEK を使用する資格情報ストアを作成します。
      KEYMGMT CREATE CREDSTORE <nek>
      以下に例を示します。
      KEYMGMT CREATE CREDSTORE credstorenek
      以下のことを確認してください。
      • 表示される指紋は前の手順でメモしたものと一致します。
      • データベース credstore.nsfDomino® \data\IBM_CredStore ディレクトリに作成されます。
  4. 追加の Domino サーバーがストレージサービス内で同じバケットを使用する場合は、資格情報ストアを使用するようにそれらのサーバーを設定します。
    注: 資格情報ストアと資格情報ストア鍵の管理を容易にするため、一つの Domino クラスタ内に複数の Domino サーバーを設定して一つのバケットを共有することをお勧めします。
    1. 資格情報ストアを作成したサーバーのサーバーコンソールで、次のコマンドを入力して、サーバー ID ファイルから Domino データディレクトリのキーファイルへ NEK をエクスポートします。
      KEYMGMT EXPORT NEK <nek> <nek>.key <password>
      以下に例を示します。
      KEYMGMT EXPORT NEK credstorenek credstorenek.key passw0rd
    2. キーファイル (credstorenek.key など) を他の Domino サーバー上の Domino データディレクトリへコピーします。
    3. 追加の各 Domino サーバーのサーバーコンソールで、次のコマンドを入力して、NEK を server.id ファイルにインポートします。
      KEYMGMT IMPORT NEK <nek>.key <password>
      以下に例を示します。
      KEYMGMT IMPORT NEK credstorenek.key passw0rd
    4. 追加の各 Domino サーバーで資格情報ストアデータベースの複製を作成します。
  5. 次のステップを完了して、Domino® 資格情報ストアにストレージサービス資格情報を追加します。
    1. ステップ 1 で作成したサービス資格情報を含むテキストファイル (例えば dominocred.txt) を作成します。例:
      [dominocos]
      aws_access_key_id = AWDOTJVLSIIGTJ7SJ489F
      aws_secret_access_key = Flx9zD25RvyKQDKq5PjM521akIfPxtcaleW7Mtn

      角括弧 [dominocos] 内の名前は資格情報ストアで資格情報の名前として使用されます。この名前は手順 DAOS Tier 2 ストレージの有効化 の完了時に指定できます。

    2. DAOS サーバーのサーバーコンソールで、次のコマンドを入力して、Domino® 資格情報ストアに資格情報を追加します。
      tell daosmgr S3 storecred <filename>
      ここで <filename> は資格情報を含むテキストファイルの名前です。
      以下に例を示します。
      tell daosmgr S3 storecred dominocred.txt

      資格情報は、資格情報に名前を付けて (例えば dominocos.) を含む資格情報ストアに追加されます。テキストファイルはコマンドの完了時に削除されます。コンソールおよびログファイルには資格情報は表示されません。