ホーム
製品
Red Hat Virtualization
4.3
管理ガイド
19.4. Single Sign-On 用の LDAP および Kerberos の設定

19.4. Single Sign-On 用の LDAP および Kerberos の設定

Single Sign-On を使用すると、ユーザーはパスワードを再入力せずに VM ポータルまたは管理ポータルにログインできます。認証情報は Kerberos サーバーから取得されます。管理ポータルと仮想マシンポータルへの Single Sign-On を設定するには、ovirt-engine-extension-aaa-misc および ovirt-engine-extension-aaa-ldap の 2 つの拡張機能と、2 つの Apache モジュール mod_auth_gssapi および d mod_session を設定する必要があります。Kerberos を含まない Single Sign-On を設定できますが、これはこのドキュメントの範囲外です。

注記

VM ポータルへのシングルサインオンが有効になっている場合に、仮想マシンへのシングルサインオンはできません。VM ポータルへのシングルサインオンが有効になっている場合には、VM ポータルはパスワードを受け入れる必要がないので、パスワードを委任して仮想マシンにサインインすることはできません。

この例では、以下を前提としています。

既存の KeyDistributionCenter (KDC) サーバーは、MIT バージョンの Kerberos5 を使用します。
KDC サーバーに対する管理者権限があります。
Kerberos クライアントは、Red Hat Virtualization Manager とユーザーマシンにインストールされます。
kadmin ユーティリティーは、Kerberos サービスプリンシパルと keytab ファイルを作成するために使用されます。

この手順には、次のコンポーネントが含まれます。

On the KDC server

Red Hat Virtualization Manager 上で Apache サービス用のサービスプリンシパルと keytab ファイルを作成します。

Red Hat Virtualization Manager の場合

認証および許可拡張パッケージと Apache Kerberos 認証モジュールをインストールします。
拡張ファイルを設定します。

Apache サービス用の Kerberos の設定

KDC サーバーで、kadmin ユーティリティーを使用して、Red Hat Virtualization Manager で Apache サービスのサービスプリンシパルを作成します。サービスプリンシパルは、Apache サービスの KDC への参照 ID です。
```
kadmin
```
```
# kadmin
kadmin> addprinc -randkey HTTP/fqdn-of-rhevm@REALM.COM
```
Copy to Clipboard Toggle word wrap
Apache サービスの keytab ファイルを生成します。keytab ファイルには、共有秘密鍵が格納されています。
注記
engine-backup コマンドには、バックアップおよび復元時にファイル /etc/httpd/http.keytab が含まれます。keytab ファイルに別の名前を使用する場合は、必ずバックアップして復元してください。
```
kadmin> ktadd -k /tmp/http.keytab HTTP/fqdn-of-rhevm@REALM.COM
kadmin> quit
```
```
kadmin> ktadd -k /tmp/http.keytab HTTP/fqdn-of-rhevm@REALM.COM
kadmin> quit
```
Copy to Clipboard Toggle word wrap
KDC サーバーから Red Hat Virtualization Manager に keytab ファイルをコピーします。
```
scp /tmp/http.keytab root@rhevm.example.com:/etc/httpd
```
```
# scp /tmp/http.keytab root@rhevm.example.com:/etc/httpd
```
Copy to Clipboard Toggle word wrap

仮想マシンポータルまたは管理ポータルへの Single Sign-On の設定

Red Hat Virtualization Manager で、キータブの所有権と権限が適切であることを確認します。
```
chown apache /etc/httpd/http.keytab
chmod 400 /etc/httpd/http.keytab
```
```
# chown apache /etc/httpd/http.keytab
# chmod 400 /etc/httpd/http.keytab
```
Copy to Clipboard Toggle word wrap
認証拡張パッケージ、LDAP 拡張パッケージ、および mod_auth_gssapi および mod_sessionApache モジュールをインストールします。
```
yum install ovirt-engine-extension-aaa-misc ovirt-engine-extension-aaa-ldap mod_auth_gssapi mod_session
```
```
# yum install ovirt-engine-extension-aaa-misc ovirt-engine-extension-aaa-ldap mod_auth_gssapi mod_session
```
Copy to Clipboard Toggle word wrap
SSO 設定テンプレートファイルを /etc/ovirt-engine ディレクトリーにコピーします。テンプレートファイルは、Active Directory (ad-sso) およびその他のディレクトリータイプ (simple-sso) で使用できます。この例では、単純な SSO 設定テンプレートを使用しています。
```
cp -r /usr/share/ovirt-engine-extension-aaa-ldap/examples/simple-sso/. /etc/ovirt-engine
```
```
# cp -r /usr/share/ovirt-engine-extension-aaa-ldap/examples/simple-sso/. /etc/ovirt-engine
```
Copy to Clipboard Toggle word wrap
ovirt-sso.conf を Apache 設定ディレクトリーに移動します。
注記
engine-backup コマンドは、バックアップとリストアの際に、/etc/httpd/conf.d/ovirt-sso.conf ファイルを含めます。このファイルに別の名前を使用する場合は、必ずバックアップして復元してください。
```
mv /etc/ovirt-engine/aaa/ovirt-sso.conf /etc/httpd/conf.d
```
```
# mv /etc/ovirt-engine/aaa/ovirt-sso.conf /etc/httpd/conf.d
```
Copy to Clipboard Toggle word wrap

認証方法ファイルを確認します。レルムは keytab ファイルから自動的にフェッチされるため、このファイルを編集する必要はありません。

vi /etc/httpd/conf.d/ovirt-sso.conf

# vi /etc/httpd/conf.d/ovirt-sso.conf

Copy to Clipboard

Toggle word wrap

例19.5 認証方法ファイルの例

<LocationMatch ^/ovirt-engine/sso/(interactive-login-negotiate|oauth/token-http-auth)|^/ovirt-engine/api>
  <If "req('Authorization') !~ /^(Bearer|Basic)/i">
    RewriteEngine on
    RewriteCond %{LA-U:REMOTE_USER} ^(.*)$
    RewriteRule ^(.*)$ - [L,NS,P,E=REMOTE_USER:%1]
    RequestHeader set X-Remote-User %{REMOTE_USER}s

    AuthType GSSAPI
    AuthName "Kerberos Login"

    # Modify to match installation
    GssapiCredStore keytab:/etc/httpd/http.keytab
    GssapiUseSessions On
    Session On
    SessionCookieName ovirt_gssapi_session path=/private;httponly;secure;

    Require valid-user
    ErrorDocument 401 "<html><meta http-equiv=\"refresh\" content=\"0; url=/ovirt-engine/sso/login-unauthorized\"/><body><a href=\"/ovirt-engine/sso/login-unauthorized\">Here</a></body></html>"
  </If>
</LocationMatch>

<LocationMatch ^/ovirt-engine/sso/(interactive-login-negotiate|oauth/token-http-auth)|^/ovirt-engine/api>
  <If "req('Authorization') !~ /^(Bearer|Basic)/i">
    RewriteEngine on
    RewriteCond %{LA-U:REMOTE_USER} ^(.*)$
    RewriteRule ^(.*)$ - [L,NS,P,E=REMOTE_USER:%1]
    RequestHeader set X-Remote-User %{REMOTE_USER}s

    AuthType GSSAPI
    AuthName "Kerberos Login"

    # Modify to match installation
    GssapiCredStore keytab:/etc/httpd/http.keytab
    GssapiUseSessions On
    Session On
    SessionCookieName ovirt_gssapi_session path=/private;httponly;secure;

    Require valid-user
    ErrorDocument 401 "<html><meta http-equiv=\"refresh\" content=\"0; url=/ovirt-engine/sso/login-unauthorized\"/><body><a href=\"/ovirt-engine/sso/login-unauthorized\">Here</a></body></html>"
  </If>
</LocationMatch>

Copy to Clipboard

Toggle word wrap

管理ポータルおよび仮想マシンポータルのログインページでユーザーに表示するプロファイル名と一致するように、設定ファイルの名前を変更します。

mv /etc/ovirt-engine/aaa/profile1.properties /etc/ovirt-engine/aaa/example.properties

# mv /etc/ovirt-engine/aaa/profile1.properties /etc/ovirt-engine/aaa/example.properties

Copy to Clipboard

Toggle word wrap

mv /etc/ovirt-engine/extensions.d/profile1-http-authn.properties /etc/ovirt-engine/extensions.d/example-http-authn.properties

# mv /etc/ovirt-engine/extensions.d/profile1-http-authn.properties /etc/ovirt-engine/extensions.d/example-http-authn.properties

Copy to Clipboard

Toggle word wrap

mv /etc/ovirt-engine/extensions.d/profile1-http-mapping.properties /etc/ovirt-engine/extensions.d/example-http-mapping.properties

# mv /etc/ovirt-engine/extensions.d/profile1-http-mapping.properties /etc/ovirt-engine/extensions.d/example-http-mapping.properties

Copy to Clipboard

Toggle word wrap

mv /etc/ovirt-engine/extensions.d/profile1-authz.properties /etc/ovirt-engine/extensions.d/example-authz.properties

# mv /etc/ovirt-engine/extensions.d/profile1-authz.properties /etc/ovirt-engine/extensions.d/example-authz.properties

Copy to Clipboard

Toggle word wrap

LDAP サーバーの種類のコメントを解除し、ドメインとパスワードのフィールドを更新して、LDAP プロパティー設定ファイルを編集します。

 vi /etc/ovirt-engine/aaa/example.properties

#  vi /etc/ovirt-engine/aaa/example.properties

Copy to Clipboard

Toggle word wrap

例19.6 プロファイルの例: LDAP サーバーセクション

Select one
Server
Search user and its password.

# Select one
include = <openldap.properties>
#include = <389ds.properties>
#include = <rhds.properties>
#include = <ipa.properties>
#include = <iplanet.properties>
#include = <rfc2307-389ds.properties>
#include = <rfc2307-rhds.properties>
#include = <rfc2307-openldap.properties>
#include = <rfc2307-edir.properties>
#include = <rfc2307-generic.properties>

# Server
#
vars.server = ldap1.company.com

# Search user and its password.
#
vars.user = uid=search,cn=users,cn=accounts,dc=company,dc=com
vars.password = 123456

pool.default.serverset.single.server = ${global:vars.server}
pool.default.auth.simple.bindDN = ${global:vars.user}
pool.default.auth.simple.password = ${global:vars.password}

Copy to Clipboard

Toggle word wrap

TLS または SSL プロトコルを使用して LDAP サーバーと対話するには、LDAP サーバーのルート CA 証明書を取得し、それを使用して公開鍵ストアファイルを作成します。次の行のコメントを解除し、公開キーストアファイルへのフルパスとファイルにアクセスするためのパスワードを指定します。

注記

パブリックキーストアファイルの作成方法の詳細は、「Manager と LDAP サーバー間の暗号化通信の設定」を参照してください。

例19.7 プロファイルの例: キーストアセクション

Create keystore, import certificate chain and uncomment
if using ssl/tls.

# Create keystore, import certificate chain and uncomment
# if using ssl/tls.
pool.default.ssl.startTLS = true
pool.default.ssl.truststore.file = /full/path/to/myrootca.jks
pool.default.ssl.truststore.password = password

Copy to Clipboard

Toggle word wrap

認証設定ファイルを確認します。管理ポータルおよび仮想マシンポータルのログインページでユーザーに表示されるプロファイル名は、ovirt.engine.aaa.authn.profile.name によって定義されます。設定プロファイルの場所は、LDAP 設定ファイルの場所と一致する必要があります。すべてのフィールドをデフォルトのままにすることができます。

vi /etc/ovirt-engine/extensions.d/example-http-authn.properties

# vi /etc/ovirt-engine/extensions.d/example-http-authn.properties

Copy to Clipboard

Toggle word wrap

例19.8 認証設定ファイルの例

ovirt.engine.extension.name = example-http-authn
ovirt.engine.extension.bindings.method = jbossmodule
ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.misc
ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.misc.http.AuthnExtension
ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Authn
ovirt.engine.aaa.authn.profile.name = example-http
ovirt.engine.aaa.authn.authz.plugin = example-authz
ovirt.engine.aaa.authn.mapping.plugin = example-http-mapping
config.artifact.name = HEADER
config.artifact.arg = X-Remote-User

ovirt.engine.extension.name = example-http-authn
ovirt.engine.extension.bindings.method = jbossmodule
ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.misc
ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.misc.http.AuthnExtension
ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Authn
ovirt.engine.aaa.authn.profile.name = example-http
ovirt.engine.aaa.authn.authz.plugin = example-authz
ovirt.engine.aaa.authn.mapping.plugin = example-http-mapping
config.artifact.name = HEADER
config.artifact.arg = X-Remote-User

Copy to Clipboard

Toggle word wrap

許可設定ファイルを確認してください。設定プロファイルの場所は、LDAP 設定ファイルの場所と一致する必要があります。すべてのフィールドをデフォルトのままにすることができます。

 vi /etc/ovirt-engine/extensions.d/example-authz.properties

#  vi /etc/ovirt-engine/extensions.d/example-authz.properties

Copy to Clipboard

Toggle word wrap

例19.9 許可設定ファイルの例

ovirt.engine.extension.name = example-authz
ovirt.engine.extension.bindings.method = jbossmodule
ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.ldap
ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.ldap.AuthzExtension
ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Authz
config.profile.file.1 = ../aaa/example.properties

ovirt.engine.extension.name = example-authz
ovirt.engine.extension.bindings.method = jbossmodule
ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.ldap
ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.ldap.AuthzExtension
ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Authz
config.profile.file.1 = ../aaa/example.properties

Copy to Clipboard

Toggle word wrap

認証マッピング設定ファイルを確認します。設定プロファイルの場所は、LDAP 設定ファイルの場所と一致する必要があります。設定プロファイルの拡張名は、認証設定ファイルの ovirt.engine.aaa.authn.mapping.plugin 値と一致させる必要があります。すべてのフィールドをデフォルトのままにすることができます。

vi /etc/ovirt-engine/extensions.d/example-http-mapping.properties

# vi /etc/ovirt-engine/extensions.d/example-http-mapping.properties

Copy to Clipboard

Toggle word wrap

例19.10 認証マッピング設定ファイルの例

ovirt.engine.extension.name = example-http-mapping
ovirt.engine.extension.bindings.method = jbossmodule
ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.misc
ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.misc.mapping.MappingExtension
ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Mapping
config.mapAuthRecord.type = regex
config.mapAuthRecord.regex.mustMatch = true
config.mapAuthRecord.regex.pattern = ^(?<user>.*?)((\\\\(?<at>@)(?<suffix>.*?)@.*)|(?<realm>@.*))$
config.mapAuthRecord.regex.replacement = ${user}${at}${suffix}

ovirt.engine.extension.name = example-http-mapping
ovirt.engine.extension.bindings.method = jbossmodule
ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.misc
ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.misc.mapping.MappingExtension
ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Mapping
config.mapAuthRecord.type = regex
config.mapAuthRecord.regex.mustMatch = true
config.mapAuthRecord.regex.pattern = ^(?<user>.*?)((\\\\(?<at>@)(?<suffix>.*?)@.*)|(?<realm>@.*))$
config.mapAuthRecord.regex.replacement = ${user}${at}${suffix}

Copy to Clipboard

Toggle word wrap

設定ファイルの所有権および権限が適切であることを確認してください。

chown ovirt:ovirt /etc/ovirt-engine/aaa/example.properties

# chown ovirt:ovirt /etc/ovirt-engine/aaa/example.properties

Copy to Clipboard

Toggle word wrap

chown ovirt:ovirt /etc/ovirt-engine/extensions.d/example-http-authn.properties

# chown ovirt:ovirt /etc/ovirt-engine/extensions.d/example-http-authn.properties

Copy to Clipboard

Toggle word wrap

chown ovirt:ovirt /etc/ovirt-engine/extensions.d/example-http-mapping.properties

# chown ovirt:ovirt /etc/ovirt-engine/extensions.d/example-http-mapping.properties

Copy to Clipboard

Toggle word wrap

chown ovirt:ovirt /etc/ovirt-engine/extensions.d/example-authz.properties

# chown ovirt:ovirt /etc/ovirt-engine/extensions.d/example-authz.properties

Copy to Clipboard

Toggle word wrap

chmod 600 /etc/ovirt-engine/aaa/example.properties

# chmod 600 /etc/ovirt-engine/aaa/example.properties

Copy to Clipboard

Toggle word wrap

chmod 640 /etc/ovirt-engine/extensions.d/example-http-authn.properties

# chmod 640 /etc/ovirt-engine/extensions.d/example-http-authn.properties

Copy to Clipboard

Toggle word wrap

chmod 640 /etc/ovirt-engine/extensions.d/example-http-mapping.properties

# chmod 640 /etc/ovirt-engine/extensions.d/example-http-mapping.properties

Copy to Clipboard

Toggle word wrap

chmod 640 /etc/ovirt-engine/extensions.d/example-authz.properties

# chmod 640 /etc/ovirt-engine/extensions.d/example-authz.properties

Copy to Clipboard

Toggle word wrap

Apache サービスおよび ovirt-engine サービスを再起動します。

systemctl restart httpd.service
systemctl restart ovirt-engine.service

# systemctl restart httpd.service
# systemctl restart ovirt-engine.service

Copy to Clipboard

Toggle word wrap

トップに戻る

19.4. Single Sign-On 用の LDAP および Kerberos の設定

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links