D.2. Manager と LDAP サーバー間の SSL または TLS 接続の設定
Red Hat Virtualization Manager と LDAP サーバーの間でセキュアな接続を設定するには、LDAP サーバーのルート CA 証明書を取得して、そのルート CA 証明書を Manager にコピーしてから、PEM エンコードされた CA 証明書を作成します。キーストアタイプには、任意の Java 対応タイプを使用することができます。以下の手順では、Java KeyStore (JKS) 形式を使用しています。
注記
PEM エンコードされたファイルの作成および証明書のインポートについての詳しい説明は、
/usr/share/doc/ovirt-engine-extension-aaa-ldap-version
で README ファイルの「X.509 CERTIFICATE TRUST STORE
」セクションを参照してください。
手順D.2 PEM エンコード CA 証明書の作成
- Red Hat Virtualization Manager で、LDAP サーバーのルート CA 証明書を
/tmp
ディレクトリーにコピーし、keytool
を使用してそのルート CA 証明書をインポートし、PEM エンコードされた CA 証明書を作成します。以下のコマンドは、/tmp/myrootca.pem にあるルート CA 証明書をインポートして PEM エンコードされた myrootca.jks という CA 証明書を /etc/ovirt-engine/aaa/ 下に作成します。証明書の場所とパスワードを書き留めてください。対話型の設定を使用する場合に必要な情報がこれがすべてです。LDAP サーバーを手動で設定する場合には、残りの手順を実行して、設定ファイルを更新してください。$ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password
- 証明書の情報を使用して
/etc/ovirt-engine/aaa/profile1.properties
ファイルを更新します。注記
${local:_basedir}
は LDAP プロパティー設定ファイルの場所で、/etc/ovirt-engine/aaa
ディレクトリーをポイントします。PEM エンコードされた CA 証明書を別のディレクトリーに作成した場合には、${local:_basedir}
を証明書のフルパスに置き換えてください。- startTLS を使用する場合 (推奨):
# Create keystore, import certificate chain and uncomment pool.default.ssl.startTLS = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password
- SSL を使用する場合:
# Create keystore, import certificate chain and uncomment pool.default.serverset.single.port = 636 pool.default.ssl.enable = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password
外部 LDAP プロバイダーの設定を続行するには、「外部の LDAP プロバイダーの設定 (対話式の設定)」を参照してください。シングルサインオンのための LDAP と Kerberos の設定を続行するには、「シングルサインオンのための LDAP と Kerberos の設定」を参照してください。