第4章 追加設定
4.1. 仮想マシンへのシングルサインオン (SSO) 設定
シングルサインオン (認証委任とも呼ばれる) を設定すると、ユーザーポータルへのログインで使用した認証情報で仮想マシンに自動的にログインできます。シングルサインオンは、Red Hat Enterprise Linux の仮想マシンでも Windows の仮想マシンでも使用できます。
重要
ユーザーポータルへのシングルサインオンが有効になっている場合は、仮想マシンへのシングルサインオンは使用できません。ユーザーポータルへのシングルサインオンが有効な状態では、ユーザーポータルによるパスワードの確認が必要ないため、このパスワードが渡されず、仮想マシンにサインインできません。
4.1.1. IPA (IdM) を使用する Red Hat Enterprise Linux の仮想マシンへのシングルサインオン (SSO) 設定
GNOME と KDE グラフィカルデスクトップおよび IPA (IdM) サーバーを使用して、Red Hat Enterprise Linux 仮想マシンのシングルサインオンを設定するには、仮想マシンに rhevm-guest-agent パッケージと、ウィンドウマネージャー関連のパッケージをインストールする必要があります。
重要
以下の手順は、IPA の設定が正常に機能している状態で、かつ IPA ドメインが Manager にアタッチ済みであることを前提としています。また、NTP を使用して、Manager、仮想マシン、および IPA (IdM) をホストするシステムのクロックを確実に同期させる必要があります。
手順4.1 Red Hat Enterprise Linux の仮想マシンへのシングルサインオン (SSO) を設定
- Red Hat Enterprise Linux 仮想マシンにログインします。
- 必須チャンネルを有効にします。
- Red Hat Enterprise Linux 6 の場合
# subscription-manager repos --enable=rhel-6-server-rhv-4-agent-rpms
- Red Hat Enterprise Linux 7 の場合
# subscription-manager repos --enable=rhel-7-server-rh-common-rpms
- ゲストエージェントパッケージをダウンロードして、インストールします。
# yum install rhevm-guest-agent-common
- シングルサインオンパッケージをインストールします。
# yum install rhevm-guest-agent-pam-module # yum install rhevm-guest-agent-gdm-plugin
- IPA パッケージをインストールします。
# yum install ipa-client
- 以下のコマンドを実行し、プロンプトに従って ipa-client を設定し、仮想マシンをドメインにアタッチします。
# ipa-client-install --permit --mkhomedir
注記
DNS 難読化を使用する環境では、このコマンドは以下のようになります。# ipa-client-install --domain=FQDN --server==FQDN
- Red Hat Enterprise Linux 7.2 では、以下のコマンドを実行します。
# authconfig --enablenis --update
注記
Red Hat Enterprise Linux 7.2 では、System Security Services Daemon (SSSD) の新しいバージョンが導入されましたが、その設定は、Red Hat Virtualization Manager のゲストエージェントのシングルサインオン実装との互換性がありません。上記のコマンドを実行することで、シングルサインオンが確実に機能するようになります。 - IPA ユーザーの詳細を取得します。
# getent passwd IPA_user_name
これに対し、以下のような出力が返されます。some-ipa-user:*:936600010:936600001::/home/some-ipa-user:/bin/sh
次のステップで、some-ipa-user のホームディレクトリーを作成する際にこの情報が必要になります。 - IPA ユーザーのホームディレクトリーを設定します。
- 新規ユーザーのホームディレクトリーを作成します。
# mkdir /home/some-ipa-user
- 新規ユーザーのホームディレクトリーの所有権をこの新しいユーザーに指定します。
# chown 935500010:936600001 /home/some-ipa-user
シングルサインオンで使用するように設定したユーザーとパスワードで、ユーザーポータルにログインして、仮想マシンのコンソールに接続すると自動的にログインされます。
4.1.2. Active Directory を使用した Red Hat Enterprise Linux の仮想マシンへのシングルサインオン (SSO) 設定
GNOME と KDE グラフィカルデスクトップおよび Active Directory を使用して、Red Hat Enterprise Linux 仮想マシンのシングルサインオンを設定するには、仮想マシンに rhevm-guest-agent パッケージと、ウィンドウマネージャー関連のパッケージをインストールして、仮想マシンをドメインに登録する必要があります。
重要
以下の手順は、IPA の設定が正常に機能している状態で、かつ Active Directory ドメインが Manager にアタッチ済みであることを前提としています。また、NTP を使用して、Manager、仮想マシン、および Active Directory をホストするシステムのクロックを確実に同期させる必要があります。
手順4.2 Red Hat Enterprise Linux の仮想マシンへのシングルサインオン (SSO) を設定
- Red Hat Enterprise Linux 仮想マシンにログインします。
- Red Hat Enterprise Virtualization Agent チャンネルを有効にします。
- Red Hat Enterprise Linux 6 の場合
# subscription-manager repos --enable=rhel-6-server-rhv-4-agent-rpms
- Red Hat Enterprise Linux 7 の場合
# subscription-manager repos --enable=rhel-7-server-rh-common-rpms
- ゲストエージェントパッケージをダウンロードして、インストールします。
# yum install rhevm-guest-agent-common
- シングルサインオンパッケージをインストールします。
# yum install rhev-agent-gdm-plugin-rhevcred
- Samba クライアントパッケージをインストールします。
# yum install samba-client samba-winbind samba-winbind-clients
- 仮想マシンで
/etc/samba/smb.conf
ファイルを編集して以下の内容を追加します。DOMAIN
は短いドメイン名に、REALM.LOCAL
は Active Directory レルムに置き換えてください。[global] workgroup = DOMAIN realm = REALM.LOCAL log level = 2 syslog = 0 server string = Linux File Server security = ads log file = /var/log/samba/%m max log size = 50 printcap name = cups printing = cups winbind enum users = Yes winbind enum groups = Yes winbind use default domain = true winbind separator = + idmap uid = 1000000-2000000 idmap gid = 1000000-2000000 template shell = /bin/bash
- 仮想マシンをドメインにアタッチします。
net ads join -U user_name
- winbind サービスを起動して、このサービスがブート時に起動されるようにします。
- Red Hat Enterprise Linux 6 の場合
# service winbind start # chkconfig winbind on
- Red Hat Enterprise Linux 7 の場合
# systemctl start winbind.service # systemctl enable winbind.service
- システムと Active Directory で通信がされていることを確認します。
- 信頼関係が作成されたことを確認します。
# wbinfo -t
- ユーザーを一覧表示できるかどうかを確認します。
# wbinfo -u
- グループを一覧表示できるかどうかを確認します。
# wbinfo -g
- NSS および PAM スタックを設定します。
- 認証の設定 ウィンドウを開きます。
# authconfig-tui
- Winbind の使用 のチェックボックスを選択して、次へ を選び Enter を押します。
- OK ボタンを選択して Enter を押します。
シングルサインオンで使用するように設定したユーザーとパスワードで、ユーザーポータルにログインして、仮想マシンのコンソールに接続すると自動的にログインされます。
4.1.3. Windows 仮想マシンへのシングルサインオン (SSO) 設定
Windows 仮想マシンのシングルサインオンを設定するには、Windows ゲストエージェントをゲスト仮想マシンにインストールする必要があります。このエージェントは、
RHEV Guest Tools
ISO ファイルに含まれています。RHEV-toolsSetup.iso
のイメージが ISO ドメインにない場合、システム管理者にお問い合わせください。
手順4.3 Windows 仮想マシンへのシングルサインオン (SSO) 設定
- Windows の仮想マシンを選択します。マシンの電源がオンになっていることを確認します。
- CD/DVD を変更 をクリックします。
- イメージの一覧から
RHEV-toolsSetup.iso
を選択します。 - OK をクリックします。
- コンソール をクリックして、仮想マシンにログインします。
- 仮想マシンの CD/DVD ドライブを探して、Guest Tools ISO ファイルのコンテンツにアクセスし、
RHEV-ToolsSetup.exe
を起動します。ツールがインストールされたら、変更を適用するためにマシンを再起動するようにプロンプトが表示されます。
シングルサインオンで使用するように設定したユーザーとパスワードで、ユーザーポータルにログインして、仮想マシンのコンソールに接続すると自動的にログインされます。
4.1.4. 仮想マシンのシングルサインオン (SSO) の無効化
以下の手順では、仮想マシンのシングルサインオンを無効にする方法を説明します。
手順4.4 仮想マシンのシングルサインオン (SSO) の無効化
- 仮想マシンを選択して、をクリックします。
- コンソール タブをクリックします。
- シングルサインオンを無効にする のチェックボックスを選択します。