ホーム
製品
Red Hat Virtualization
4.0
管理ガイド
15.3. 外部 LDAP プロバイダーの設定

15.3. 外部 LDAP プロバイダーの設定

15.3.1. 外部 LDAP プロバイダーの設定 (対話型セットアップ)
リンクのコピー

ovirt-engine-extension-aaa-ldap 拡張を使用すると、ユーザーは外部ディレクトリーの設定を簡単にカスタマイズできます。ovirt-engine-extension-aaa-ldap 拡張機能は、さまざまな LDAP サーバータイプをサポートしており、ほとんどの LDAP タイプのセットアップを支援する対話型セットアップスクリプトが提供されています。

LDAP サーバーの種類が対話型セットアップスクリプトにリストされていない場合、またはさらにカスタマイズしたい場合は、設定ファイルを手動で編集できます。詳細は、「外部 LDAP プロバイダーの設定 (手動による方法)」を参照してください。

Active Directory の例は、「Active Directory の接続」を参照してください。

前提条件:

DNS または LDAP サーバーのドメイン名を知っている必要があります。ラウンドロビンポリシーおよびフェイルオーバーポリシーもサポートされます。
LDAP サーバーと Manager の間に安全な接続を設定するには、PEM でエンコードされた CA 証明書が準備されていることを確認してください。詳細は、「Manager と LDAP サーバー間の SSL または TLS 接続の設定」を参照してください。
匿名検索がサポートされていない限り、検索ユーザーとして使用するディレクトリーサーバーで、すべてのユーザーおよびグループを参照するパーミッションを持つユーザーが利用できる必要があります。検索ユーザーの識別名(DN)を書き留めます。ディレクトリーサーバーの管理ユーザーを使用しないでください。
LDAP サーバーへの検索およびログインクエリーを実行するために、少なくとも 1 セットのアカウント名とパスワードを用意します。

手順15.1 外部 LDAP プロバイダーの設定

Red Hat Virtualization Manager で、LDAP 拡張パッケージをインストールします。
```
yum install ovirt-engine-extension-aaa-ldap-setup
```
```
# yum install ovirt-engine-extension-aaa-ldap-setup
```
Copy to Clipboard Toggle word wrap
ovirt-engine-extension-aaa-ldap-setup を実行して、対話型セットアップを開始します。
```
ovirt-engine-extension-aaa-ldap-setup
```
```
# ovirt-engine-extension-aaa-ldap-setup
```
Copy to Clipboard Toggle word wrap
プロファイル名を指定します。プロファイル名は、ログインページでユーザーに表示されます。この例では、redhat.com を使用しています。
注記
ドメインの設定後にプロファイルの名前を変更するには、/etc/ovirt-engine/extensions.d/redhat.com-authn.properties ファイルの ovirt.engine.aaa.authn.profile. name 属性を編集します。エンジンサービスを再起動して、変更を適用します。
```
Please specify profile name that will be visible to users:redhat.com
```
```
Please specify profile name that will be visible to users:redhat.com
```
Copy to Clipboard Toggle word wrap
図15.1 管理ポータルのログインページ

View larger image

注記
ユーザーは、初めてログインするときに、ドロップダウンリストから目的のプロファイルを選択する必要があります。その後、情報はブラウザーの Cookie に保存され、ユーザーが次にログインしたときに事前に選択されます。

対応する番号を入力して、LDAP タイプを選択します。LDAP サーバーがどのスキーマであるかわからない場合は、LDAP サーバータイプの標準スキーマを選択してください。Active Directory の場合は、「Active Directory の接続」の手順に従います。

Available LDAP implementations:
1 - 389ds
2 - 389ds RFC-2307 Schema
3 - Active Directory
4 - IPA
5 - Novell eDirectory RFC-2307 Schema
6 - OpenLDAP RFC-2307 Schema
7 - OpenLDAP Standard Schema
8 - Oracle Unified Directory RFC-2307 Schema
9 - RFC-2307 Schema (Generic)
10 - RHDS
11 - RHDS RFC-2307 Schema
12 - iPlanet
Please select: 10

Available LDAP implementations:
1 - 389ds
2 - 389ds RFC-2307 Schema
3 - Active Directory
4 - IPA
5 - Novell eDirectory RFC-2307 Schema
6 - OpenLDAP RFC-2307 Schema
7 - OpenLDAP Standard Schema
8 - Oracle Unified Directory RFC-2307 Schema
9 - RFC-2307 Schema (Generic)
10 - RHDS
11 - RHDS RFC-2307 Schema
12 - iPlanet
Please select: 10

Copy to Clipboard

Toggle word wrap

Enter を押してデフォルトを受け入れ、LDAP サーバー名のドメイン名解決を設定します。

It is highly recommended to use DNS resolution for LDAP server.
If for some reason you intend to use hosts or plain address disable DNS usage.
Use DNS (Yes, No) [Yes]:

It is highly recommended to use DNS resolution for LDAP server.
If for some reason you intend to use hosts or plain address disable DNS usage.
Use DNS (Yes, No) [Yes]:

Copy to Clipboard

Toggle word wrap

対応する番号を入力して DNS ポリシーメソッドを選択します。
```
1 - Single server
2 - DNS domain LDAP SRV record
3 - Round-robin between multiple hosts
4 - Failover between multiple hosts
Please select:
```
```
1 - Single server
2 - DNS domain LDAP SRV record
3 - Round-robin between multiple hosts
4 - Failover between multiple hosts
Please select:
```
Copy to Clipboard Toggle word wrap
- オプション 1 の場合、/etc/resolv.conf に一覧表示されている DNS サーバーを使用して IP アドレスを解決します。/etc/resolv.conf ファイルが正しい DNS サーバーで更新されていることを確認します。
  完全修飾ドメイン名(FQDN)または LDAP サーバーの IP アドレスを入力します。SRV レコードで dig コマンドを使用して、ドメイン名を見つけることができます。SRV レコードは、_service._protocol.ドメイン名の形式を取ります。例： dig _ldap._tcp.redhat.com SRV
- オプション 2 には、DNS サーバーのドメイン名を入力します。DNS 検索は、SRV レコードを検索して LDAP サーバーのドメイン名を見つけるために実行されます。
- オプション 3 には、LDAP サーバーのスペース区切りのリストを入力します。サーバーの FQDN または IP アドレスのいずれかを使用します。このポリシーは、LDAP サーバー間の負荷分散を提供します。クエリーは、ラウンドロビンアルゴリズムに従ってすべての LDAP サーバーに分散されます。
- オプション 4 には、スペースで区切られた LDAP サーバーのリストを入力します。サーバーの FQDN または IP アドレスのいずれかを使用します。このポリシーは、クエリーに応答するデフォルトの LDAP サーバーとなる最初の LDAP サーバーを定義します。最初のサーバーが使用できない場合、クエリーはリストの次の LDAP サーバーに移動します。
LDAP サーバーがサポートする安全な接続方法を選択し、PEM でエンコードされた CA 証明書を取得する方法を指定します。ファイルオプションを使用すると、証明書へのフルパスを指定できます。URL オプションを使用すると、証明書への URL を指定できます。インラインオプションを使用して、証明書の内容をターミナルに貼り付けます。システムオプションを使用すると、すべての CA ファイルのデフォルトの場所を指定できます。セキュアでないモードが選択されている場合、接続は TLS を使用して暗号化されますが、証明書の検証はスキップされます。
```
NOTE:
It is highly recommended to use secure protocol to access the LDAP server.
Protocol startTLS is the standard recommended method to do so.
Only in cases in which the startTLS is not supported, fallback to non standard ldaps protocol.
Use plain for test environments only.
Please select protocol to use (startTLS, ldaps, plain) [startTLS]: startTLS
Please select method to obtain PEM encoded CA certificate (File, URL, Inline, System, Insecure): File
Please enter the password:
```
```
NOTE:
It is highly recommended to use secure protocol to access the LDAP server.
Protocol startTLS is the standard recommended method to do so.
Only in cases in which the startTLS is not supported, fallback to non standard ldaps protocol.
Use plain for test environments only.
Please select protocol to use (startTLS, ldaps, plain) [startTLS]: startTLS
Please select method to obtain PEM encoded CA certificate (File, URL, Inline, System, Insecure): File
Please enter the password:
```
Copy to Clipboard Toggle word wrap
注記
LDAPS は、セキュアソケットリンクを介したライトウェイトディレクトリーアクセスプロトコルの略です。SSL 接続の場合は、ldaps オプションを選択します。
PEM でエンコードされた CA 証明書の作成に関する詳細は、「Manager と LDAP サーバー間の SSL または TLS 接続の設定」を参照してください。
検索ユーザーの識別名 (DN) を入力します。ユーザーには、Directory Server 上のすべてのユーザーとグループを参照するためのアクセス許可が必要です。検索ユーザーは、LDAP アノテーションで指定する必要があります。匿名検索が許可されている場合は、入力せずに Enter を押します。
```
Enter search user DN (empty for anonymous): uid=user1,ou=Users,dc=test,dc=redhat,dc=com
Enter search user password:
```
```
Enter search user DN (empty for anonymous): uid=user1,ou=Users,dc=test,dc=redhat,dc=com
Enter search user password:
```
Copy to Clipboard Toggle word wrap

検索およびログイン機能をテストして、LDAP サーバーが Red Hat Virtualization 環境に正しく接続されていることを確認します。ログインクエリーには、アカウント名とパスワードを入力します。検索クエリーで、ユーザーアカウントの場合は Principal を選択し、グループアカウントの場合は Group を選択します。ユーザーアカウントのグループアカウント情報を返す場合は、Resolve Groups に Yes を入力します。Done を選択してセットアップを完了します。3 つの設定ファイルが作成され、画面出力に表示されます。

NOTE:
It is highly recommended to test drive the configuration before applying it into engine.
Perform at least one Login sequence and one Search sequence.
Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Login
Enter search user name: testuser1
Enter search user password:
[ INFO  ] Executing login sequence...
...
Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Search
Select entity to search (Principal, Group) [Principal]:
Term to search, trailing '*' is allowed: testuser1
Resolve Groups (Yes, No) [No]: 
[ INFO  ] Executing login sequence...
...
Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Done
[ INFO  ] Stage: Transaction setup
[ INFO  ] Stage: Misc configuration
[ INFO  ] Stage: Package installation
[ INFO  ] Stage: Misc configuration
[ INFO  ] Stage: Transaction commit
[ INFO  ] Stage: Closing up
          CONFIGURATION SUMMARY
          Profile name is: redhat.com
          The following files were created:
              /etc/ovirt-engine/aaa/redhat.com.properties
              /etc/ovirt-engine/extensions.d/redhat.com-authz.properties
              /etc/ovirt-engine/extensions.d/redhat.com-authn.properties
[ INFO  ] Stage: Clean up
          Log file is available at /tmp/ovirt-engine-extension-aaa-ldap-setup-20160114064955-1yar9i.log:
[ INFO  ] Stage: Pre-termination
[ INFO  ] Stage: Termination

NOTE:
It is highly recommended to test drive the configuration before applying it into engine.
Perform at least one Login sequence and one Search sequence.
Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Login
Enter search user name: testuser1
Enter search user password:
[ INFO  ] Executing login sequence...
...
Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Search
Select entity to search (Principal, Group) [Principal]:
Term to search, trailing '*' is allowed: testuser1
Resolve Groups (Yes, No) [No]: 
[ INFO  ] Executing login sequence...
...
Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Done
[ INFO  ] Stage: Transaction setup
[ INFO  ] Stage: Misc configuration
[ INFO  ] Stage: Package installation
[ INFO  ] Stage: Misc configuration
[ INFO  ] Stage: Transaction commit
[ INFO  ] Stage: Closing up
          CONFIGURATION SUMMARY
          Profile name is: redhat.com
          The following files were created:
              /etc/ovirt-engine/aaa/redhat.com.properties
              /etc/ovirt-engine/extensions.d/redhat.com-authz.properties
              /etc/ovirt-engine/extensions.d/redhat.com-authn.properties
[ INFO  ] Stage: Clean up
          Log file is available at /tmp/ovirt-engine-extension-aaa-ldap-setup-20160114064955-1yar9i.log:
[ INFO  ] Stage: Pre-termination
[ INFO  ] Stage: Termination

Copy to Clipboard

Toggle word wrap

エンジンサービスを再起動します。作成したプロファイルは、管理ポータルおよびユーザーポータルのログインページで利用できるようになります。LDAP サーバー上のユーザーアカウントに適切なロールとパーミッションを割り当てるには、たとえば、ユーザーポータルにログインするには、「管理ポータルからのユーザータスクの管理」を参照してください。
```
systemctl restart ovirt-engine.service
```
```
# systemctl restart ovirt-engine.service
```
Copy to Clipboard Toggle word wrap

注記

詳細は、/usr/share/doc/ovirt-engine-extension-aaa-ldap-version の LDAP 認証および承認拡張 README ファイルを参照してください。

トップに戻る

15.3. 外部 LDAP プロバイダーの設定

15.3.1. 外部 LDAP プロバイダーの設定 (対話型セットアップ)
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

15.3. 外部 LDAP プロバイダーの設定

15.3.1. 外部 LDAP プロバイダーの設定 (対話型セットアップ)リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

15.3.1. 外部 LDAP プロバイダーの設定 (対話型セットアップ)
リンクのコピー