DAOS 계층 2 스토리지에 대해 신임 정보 저장소 구성

DAOS 계층 2 스토리지를 사용하도록 설정하기 전에, 스토리지 서비스에 대한 연결을 위해 사용되는 신임 정보를 저장할 Domino® 신임 정보 저장소를 구성합니다.

프로시저

  1. 스토리지 서비스 벤더 문서를 참조하십시오. Domino®가 스토리지 서비스에 연결할 때 사용할 신임 정보를 만듭니다. (사용 중인 스토리지 서비스에서 사용자를 대신하여 이 단계를 수행했을 수 있습니다.)
  2. 스토리지 서비스 벤더 문서를 참조하십시오. Domino®가 사용할 버킷을 만듭니다. (사용 중인 스토리지 서비스에서 사용자를 대신하여 이 단계를 수행했을 수 있습니다.) 여러 Domino® 서버가 동일한 버킷을 사용할 수 있습니다. 버킷에는 아무 이름이나 지정해도 됩니다. 다음 AWS 명령 예는 엔드포인트 us-east-1aws-hcl-dominocos라는 버킷을 만듭니다. 
    aws s3api create-bucket --bucket aws-hcl-dominocos --region us-east-1
  3. Domino®에서, 다음 단계를 진행하여 스토리지 서비스에 연결하는 데 사용되는 신임 정보를 안전하게 저장할 Domino® 신임 정보 저장소를 만듭니다. 기존 신임 정보 저장소(일반적으로 IBM_CredStore\credstore.nsf)가 있는 경우 이를 사용할 수 있으나 설계를 Domino® 11과 함께 제공되는 websecuritystore.ntf로 바꿔야 합니다. Domino® 신임 정보 저장소를 설정하는 것에 관한 자세한 정보는 Domino® 문서의 신임 정보 저장소를 사용하여 신임 정보 공유를 참조하십시오.
    Domino® 서버에서 Domino® 신임 정보 저장소를 만들려면 다음을 수행하십시오.
    1. 서버 콘솔에서 다음 명령을 사용하여 명명된 암호화 키(NEK)를 만듭니다. 이것은 서버 ID 파일에 추가됩니다. Domino®는 키를 사용하여 신임 정보 저장소에 저장된 신임 정보를 암호화합니다. 
      KEYMGMT CREATE NEK <named key>
      여기서 <named key>는 사용자가 키에 지정하는 이름입니다. 예를 들어, 다음과 같습니다. 
      KEYMGMT CREATE NEK credstorenek
      • 서버 콘솔 로그에 다음과 같이 키가 성공적으로 생성되었음을 나타내는 메시지가 표시되는지 확인합니다.
        [024C:0008-3848] 04/16/2019 05:04:13.06 PM NEK > NEK credstorenek - 
Fingerprint 44A5 624A 65CD 1771 F274 4779 C7AB 2FE0 9671 BB30
[024C:0008-3848] NEK credstorenek created successfully
      • 표시된 키 지문을 기록해 둡니다.
      를 참조하십시오.
    2. 서버 콘솔에서 다음 명령을 사용하여 방금 만든 NEK를 사용하여 신임 정보 저장소를 만듭니다. 
      KEYMGMT CREATE CREDSTORE <nek>
      예를 들어, 다음과 같습니다. 
      KEYMGMT CREATE CREDSTORE credstorenek
      다음을 확인하십시오.
      • 지문은 앞 단계에서 기록해 둔 지문과 일치합니다.
      • Domino® \data\IBM_CredStore 디렉토리에 데이터베이스 credstore.nsf가 생성됩니다.
  4. 다른 Domino 서버가 스토리지 서비스에서 동일한 버킷을 사용할 경우, 해당 서버가 신임 정보 저장소를 사용하도록 설정합니다.
    주: 여러 Domino 서버가 하나의 Domino 클러스터에 존재하며 하나의 버킷을 공유하는 것이 권장됩니다. 이렇게 하면 신임 정보 저장소와 신임 정보 저장소 키의 관리가 간소화되기 때문입니다.
    1. 신임 정보 저장소를 만든 서버의 서버 콘솔에서 다음 명령을 입력하여 서버 ID 파일에서 Domino 데이터 디렉토리에 있는 키 파일로 NEK를 내보냅니다. 
      KEYMGMT EXPORT NEK <nek> <nek>.key <password>
      예를 들어, 다음과 같습니다. 
      KEYMGMT EXPORT NEK credstorenek credstorenek.key passw0rd
    2. 키 파일(예: credstorenek.key)을 다른 Domino 서버에 있는 Domino 데이터 디렉토리에 복사합니다.
    3. 다른 Domino 서버의 서버 콘솔에서 각각 다음 명령을 입력하여 NEK를 server.id 파일로 가져옵니다. 
      KEYMGMT IMPORT NEK <nek>.key <password>
      예를 들어, 다음과 같습니다. 
      KEYMGMT IMPORT NEK credstorenek.key passw0rd
    4. 다른 Domino 서버에서 각각 신임 정보 저장소 데이터베이스의 복제본을 만듭니다.
  5. 다음 단계를 진행하여 Domino® 신임 정보 저장소에 스토리지 서비스 신임 정보를 추가합니다.
    1. 1단계에서 만든 서비스 신임 정보를 포함하는 텍스트 파일(예: dominocred.txt)을 만듭니다. 예: 
      [dominocos]
aws_access_key_id = AWDOTJVLSIIGTJ7SJ489F
aws_secret_access_key = Flx9zD25RvyKQDKq5PjM521akIfPxtcaleW7Mtn

      대괄호 안의 이름 [dominocos]는 신임 정보 저장소에 있는 신임 정보의 이름으로 사용됩니다. 이 이름은 프로시저 DAOS 계층 2 스토리지 사용 설정를 진행할 때 지정합니다.

    2. DAOS 서버의 서버 콘솔에서 다음 명령을 사용하여 Domino® 신임 정보 저장소에 신임 정보를 추가합니다. 
      tell daosmgr S3 storecred <filename>
      여기서 <filename>은 신임 정보가 들어 있는 텍스트 파일의 이름입니다.
      예를 들어, 다음과 같습니다. 
      tell daosmgr S3 storecred dominocred.txt

      신임 정보는 명명된 신임 정보를 갖는 신임 정보 저장소에 추가됩니다(예: dominocos.). 명령이 완료되면 텍스트 파일이 삭제됩니다. 콘솔이나 로그 파일에서는 신임 정보를 볼 수 없습니다.