D.2. Manager と LDAP サーバー間の SSL または TLS 接続の設定
Red Hat Enterpriser Virtualization Manager と LDAP サーバーとの間にセキュアな接続を設定するには、LDAP サーバーのルート CA 証明書を取得し、ルート CA 証明書を Manager にコピーし、PEM でエンコードされた CA 証明書を作成します。キーストアタイプは、Java でサポートされている任意のタイプになります。以下の手順では、Java KeyStore (JKS) 形式を使用します。
注記
PEM でエンコードされた CA 証明書の作成と証明書のインポートに関する詳細は、
/usr/share/doc/ovirt-engine-extension-aaa-ldap-version
の README ファイルの X.509 CERTIFICATE TRUST STORE
セクションを参照してください。
手順D.3 PEM でエンコードされた CA 証明書の作成
- Red Hat Virtualization Manager で、LDAP サーバーのルート CA 証明書を
/tmp
ディレクトリーにコピーし、keytool を使用してルート CA 証明書をインポートし、PEM でエンコードされた CA 証明書を作成します。以下のコマンドは、/tmp/myrootca.pem でルート CA 証明書をインポートし、/etc/ovirt-engine/aaa/ の下に PEM でエンコードされた CA 証明書 myrootca.jks を作成します。証明書の場所とパスワードを書き留めます。インタラクティブセットアップツールを使用している場合は、これが必要なすべての情報です。LDAP サーバーを手動で設定している場合は、残りの手順に従って設定ファイルを更新してください。$ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password
/etc/ovirt-engine/aaa/profile1.properties
ファイルを証明書情報で更新します。注記${local:_basedir}
は、LDAP プロパティー設定ファイルが存在するディレクトリーで、/etc/ovirt-engine/aaa
ディレクトリーを参照します。PEM でエンコードされた CA 証明書を別のディレクトリーに作成した場合は、${local:_basedir}
を証明書へのフルパスに置き換えます。- startTLS (推奨) を使用するには、以下を行います。
# Create keystore, import certificate chain and uncomment pool.default.ssl.startTLS = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password
- SSL を使用するには、以下を行います。
# Create keystore, import certificate chain and uncomment pool.default.serverset.single.port = 636 pool.default.ssl.enable = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password
外部 LDAP プロバイダーの設定を続行するには、「外部 LDAP プロバイダーの設定 (対話型セットアップ)」 を参照してください。シングルサインオン用の LDAP および Kerberos の設定を続行するには、「Single Sign-On 用の LDAP および Kerberos の設定」 を参照してください。