配置 DAOS tier 2 儲存的認證儲存庫

在您啟用 DAOS tier 2 儲存之前,配置 Domino® 認證儲存庫,以儲存用來連接至儲存服務的認證。

程序

  1. 請參閱您的儲存服務廠商說明文件。建立供 Domino® 連接至儲存服務的認證。(您的儲存服務可為您執行此步驟)。
  2. 請參閱您的儲存服務廠商說明文件。建立供 Domino® 使用的雜湊桶。(您的儲存服務可為您執行此步驟)。多個 Domino® 伺服器可以使用相同的雜湊桶。您可以任意命名雜湊桶。下列 AWS 指令範例會在端點 us-east-1 建立名為 aws-hcl-dominocos 的雜湊桶: 
    aws s3api create-bucket --bucket aws-hcl-dominocos --region us-east-1
  3. Domino® 中完成下列步驟來建立 Domino® 認證儲存庫,以安全地儲存用來連接至儲存服務的認證。如果您已經有認證儲存庫(通常是 IBM_CredStore\credstore.nsf),但必須將設計替換為 Domino® 11 隨附的 websecuritystore.ntf 才可使用。如需設定 Domino® 認證儲存庫的相關資訊,請參閱 Domino® 說明文件中的「使用認證儲存庫來共用認證」。
    若要在 Domino® 伺服器上建立 Domino® 認證儲存庫:
    1. 在伺服器主控台中,使用下列指令來建立新增至伺服器 ID 檔案的具名加密金鑰 (NEK)。Domino® 會使用金鑰來加密認證儲存庫中儲存的認證。 
      KEYMGMT CREATE NEK <named key>
      其中的 <named key> 是您為金鑰指定的名稱。例如: 
      KEYMGMT CREATE NEK credstorenek
      • 驗證您在伺服器主控台日誌中看到類似以下的訊息,表示已成功建立金鑰:
        [024C:0008-3848] 04/16/2019 05:04:13.06 PM NEK > NEK credstorenek - 
Fingerprint 44A5 624A 65CD 1771 F274 4779 C7AB 2FE0 9671 BB30
[024C:0008-3848] NEK credstorenek created successfully
      • 請記下顯示的金鑰指紋。
      .
    2. 在伺服器主控台中,透過下列指令使用您建立的 NEK 來建立認證儲存庫。 
      KEYMGMT CREATE CREDSTORE <nek>
      例如: 
      KEYMGMT CREATE CREDSTORE credstorenek
      驗證下列事項:
      • 指紋符合您在先前步驟中記下的指紋。
      • 已在 Domino® \data\IBM_CredStore 名錄中建立資料庫 credstore.nsf
  4. 如果其他 Domino 伺服器將使用儲存服務中的相同雜湊桶,請將這些伺服器設定為使用認證儲存庫:
    註: 建議您將多個 Domino 伺服器設定至同一 Domino 叢集,並共用一個雜湊桶,藉此簡化認證儲存庫和認證儲存庫金鑰的管理。
    1. 從您建立認證儲存庫所在伺服器的伺服器主控台,輸入下列指令來將 NEK 從伺服器 ID 檔案匯出為 Domino 資料目錄中的金鑰檔案: 
      KEYMGMT EXPORT NEK <nek> <nek>.key <password>
      例如: 
      KEYMGMT EXPORT NEK credstorenek credstorenek.key passw0rd
    2. 將金鑰檔案(例如 credstorenek.key)複製到其他 Domino 伺服器上的 Domino 資料目錄。
    3. 從每個額外的 Domino 伺服器的伺服器主控台,輸入下列指令來將 NEK 匯入到 server.id 檔中: 
      KEYMGMT IMPORT NEK <nek>.key <password>
      例如: 
      KEYMGMT IMPORT NEK credstorenek.key passw0rd
    4. 在每個額外的 Domino 伺服器上,建立認證儲存庫資料庫的抄本。
  5. 完成下列步驟,將儲存服務認證新增至 Domino® 認證儲存庫:
    1. 建立文字檔案(如 dominocred.txt),其中包含您在步驟 1 中所建立服務認證。例如: 
      [dominocos]
aws_access_key_id = AWDOTJVLSIIGTJ7SJ489F
aws_secret_access_key = Flx9zD25RvyKQDKq5PjM521akIfPxtcaleW7Mtn

      方括弧中的名稱 [dominocos] 會用作認證儲存庫中認證的名稱。請在完成程序「啟用 DAOS tier 2 儲存」時指定此名稱。

    2. 在 DAOS 伺服器的伺服器主控台中,使用下列指令來將認證新增至 Domino® 認證儲存庫。 
      tell daosmgr S3 storecred <filename>
      其中的 <filename> 為具有認證的文字檔案名稱。
      例如: 
      tell daosmgr S3 storecred dominocred.txt

      認證會新增至有具名認證的認證儲存庫,例如 dominocos.。指令完成後會刪除文字檔案。主控台或日誌檔案中未顯示任何認證。