D.2. Manager と LDAP サーバー間の暗号化通信の設定
Red Hat Virtualization Manager と LDAP サーバー間の暗号化された通信をセットアップするには、LDAP サーバーのルート CA 証明書を取得し、ルート CA 証明書を Manager にコピーして、PEM でエンコードされた CA 証明書を作成します。キーストアタイプは、Java でサポートされている任意のタイプになります。以下の手順では、Java KeyStore (JKS) 形式を使用します。
PEM でエンコードされた CA 証明書の作成および証明書のインポートに関する詳細は、/usr/share/doc/ovirt-engine-extension-aaa-ldap-version にある README ファイルの X.509 CERTIFICATE TRUST STORE
セクションを参照してください。
PEM でエンコードされた CA 証明書の作成
Red Hat Virtualization Manager で、LDAP サーバーの root CA 証明書を /tmp ディレクトリーにコピーし、
keytool
を使用して root CA 証明書をインポートして、PEM でエンコードされた CA 証明書を作成します。以下のコマンドは、/tmp/myrootca.pem の root CA 証明書をインポートし、/etc/ovirt-engine/aaa/ の下に PEM でエンコードされた CA 証明書 myrootca.jks を作成します。証明書の場所とパスワードを書き留めます。インタラクティブセットアップツールを使用している場合は、これが必要なすべての情報です。LDAP サーバーを手動で設定している場合は、残りの手順に従って設定ファイルを更新してください。$ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password
/etc/ovirt-engine/aaa/profile1.properties ファイルを証明書情報で更新します。
注記${local:_basedir}
は、LDAP プロパティー設定ファイルが存在するディレクトリーであり、/etc/ovirt-engine/aaa ディレクトリーを指します。PEM でエンコードされた CA 証明書を別のディレクトリーに作成した場合は、${local:_basedir}
を証明書へのフルパスに置き換えます。startTLS (推奨) を使用するには、以下を行います。
# Create keystore, import certificate chain and uncomment pool.default.ssl.startTLS = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password
SSL を使用するには、以下を行います。
# Create keystore, import certificate chain and uncomment pool.default.serverset.single.port = 636 pool.default.ssl.enable = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password
外部 LDAP プロバイダーの設定を続行するには、Configuring an External LDAP Provider を参照してください。シングルサインオン用に LDAP および Kerberos の設定を続行するには、Configuring LDAP and Kerberos for Single Sign-on を参照してください。