19.3. 外部 LDAP プロバイダーの設定
19.3.1. 外部 LDAP プロバイダーの設定 (対話型セットアップ) リンクのコピーリンクがクリップボードにコピーされました!
ovirt-engine-extension-aaa-ldap 拡張機能を使用すると、ユーザーは外部ディレクトリーの設定を簡単にカスタマイズできます。ovirt-engine-extension-aaa-ldap 拡張機能は多くの異なる LDAP サーバータイプをサポートし、ほとんどの LDAP タイプのセットアップを支援するインタラクティブなセットアップスクリプトが提供されています。
LDAP サーバーの種類が対話型セットアップスクリプトにリストされていない場合、またはさらにカスタマイズしたい場合は、設定ファイルを手動で編集できます。詳細は、「外部 LDAP プロバイダーの設定 (手動による方法)」 を参照してください。
Active Directory の例は、「Active Directory の接続」 を参照してください。
前提条件:
- DNS または LDAP サーバーのドメイン名を知っている必要があります。
- LDAP サーバーとマネージャーの間に安全な接続を設定するには、PEM でエンコードされた CA 証明書が準備されていることを確認してください。
- LDAP サーバーへの検索およびログインクエリーを実行するために、少なくとも 1 セットのアカウント名とパスワードを用意します。
外部 LDAP プロバイダーの設定
Red Hat Virtualization Manager で、LDAP 拡張パッケージをインストールします。
yum install ovirt-engine-extension-aaa-ldap-setup
# yum install ovirt-engine-extension-aaa-ldap-setup
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ovirt-engine-extension-aaa-ldap-setup
を実行して、対話型セットアップを開始します。ovirt-engine-extension-aaa-ldap-setup
# ovirt-engine-extension-aaa-ldap-setup
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 対応する番号を入力して、LDAP タイプを選択します。LDAP サーバーがどのスキーマであるかわからない場合は、LDAP サーバータイプの標準スキーマを選択してください。Active Directory の場合は、「Active Directory の接続」 の手順に従います。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Enter
を押してデフォルトを受け入れ、LDAP サーバー名のドメイン名解決を設定します。It is highly recommended to use DNS resolution for LDAP server. If for some reason you intend to use hosts or plain address disable DNS usage. Use DNS (Yes, No) [Yes]:
It is highly recommended to use DNS resolution for LDAP server. If for some reason you intend to use hosts or plain address disable DNS usage. Use DNS (Yes, No) [Yes]:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow DNS ポリシー方式を選択します。
- オプション 1 の場合、/etc/resolv.conf にリストされている DNS サーバーを使用して IP アドレスを解決します。/etc/resolv.conf ファイルが正しい DNS サーバーで更新されていることを確認します。
オプション 2 には、完全修飾ドメイン名 (FQDN) または LDAP サーバーの IP アドレスを入力します。SRV レコードで
dig
コマンドを使用して、ドメイン名を見つけることができます。SRV レコードは次の形式を取ります。_service._protocol.domain_name
_service._protocol.domain_name
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 例:
dig _ldap._tcp.redhat.com SRV
。- オプション 3 には、LDAP サーバーのスペース区切りのリストを入力します。サーバーの FQDN または IP アドレスのいずれかを使用します。このポリシーは、LDAP サーバー間の負荷分散を提供します。クエリーは、ラウンドロビンアルゴリズムに従ってすべての LDAP サーバーに分散されます。
オプション 4 には、スペースで区切られた LDAP サーバーのリストを入力します。サーバーの FQDN または IP アドレスのいずれかを使用します。このポリシーは、クエリーに応答するデフォルトの LDAP サーバーとなる最初の LDAP サーバーを定義します。最初のサーバーが使用できない場合、クエリーはリストの次の LDAP サーバーに移動します。
1 - Single server 2 - DNS domain LDAP SRV record 3 - Round-robin between multiple hosts 4 - Failover between multiple hosts Please select:
1 - Single server 2 - DNS domain LDAP SRV record 3 - Round-robin between multiple hosts 4 - Failover between multiple hosts Please select:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
LDAP サーバーがサポートする安全な接続方法を選択し、PEM でエンコードされた CA 証明書を取得する方法を指定します。
-
File
を使用すると、証明書へのフルパスを指定できます。 -
URL
を使用すると、証明書の URL を指定できます。 -
Inline
を使用すると、証明書の内容をターミナルに貼り付けることができます。 -
System
では、すべての CA ファイルのデフォルトの場所を指定できます。 Insecure
は証明書の検証をスキップしますが、接続は引き続き TLS を使用して暗号化されます。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記LDAPS は、セキュアソケットリンクを介したライトウェイトディレクトリーアクセスプロトコルの略です。SSL 接続の場合は、
ldaps
オプションを選択します。
-
検索ユーザーの識別名 (DN) を入力します。ユーザーには、Directory Server 上のすべてのユーザーとグループを参照するためのアクセス許可が必要です。検索ユーザーは、LDAP アノテーションで指定する必要があります。匿名検索が許可されている場合は、入力せずに
Enter
を押します。Enter search user DN (for example uid=username,dc=example,dc=com or leave empty for anonymous): uid=user1,ou=Users,ou=department-1,dc=example,dc=com Enter search user password:
Enter search user DN (for example uid=username,dc=example,dc=com or leave empty for anonymous): uid=user1,ou=Users,ou=department-1,dc=example,dc=com Enter search user password:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ベース DN を入力します。
Please enter base DN (dc=redhat,dc=com) [dc=redhat,dc=com]: ou=department-1,dc=redhat,dc=com
Please enter base DN (dc=redhat,dc=com) [dc=redhat,dc=com]: ou=department-1,dc=redhat,dc=com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 仮想マシン用に Single Sign-On を設定する場合は、
Yes
を選択します。この機能は、管理ポータル機能に対する Single Sign-On では使用できないことに注意してください。スクリプトは、プロファイル名がドメイン名と一致する必要があることを通知します。仮想マシン管理ガイド の 仮想マシン用の Single Sign-On の設定 の手順に従う必要があります。Are you going to use Single Sign-On for Virtual Machines (Yes, No) [Yes]:
Are you going to use Single Sign-On for Virtual Machines (Yes, No) [Yes]:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow プロファイル名を指定します。プロファイル名は、ログインページでユーザーに表示されます。この例では、
redhat.com
を使用しています。注記ドメインの設定後にプロファイルの名前を変更するには、/etc/ovirt-engine/extensions.d/redhat.com-authn.properties ファイルの
ovirt.engine.aaa.authn.profile.name
属性を編集します。変更を反映するには、ovirt-engine
サービスを再起動します。Please specify profile name that will be visible to users: redhat.com
Please specify profile name that will be visible to users: redhat.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 図19.1 管理ポータルのログインページ
注記ユーザーは、初めてログインするときにドロップダウンリストからプロファイルを選択する必要があります。情報はブラウザーの Cookie に保存され、ユーザーが次にログインしたときに事前に選択されます。
ログイン機能をテストして、LDAP サーバーが Red Hat Virtualization 環境に正しく接続されていることを確認します。ログインクエリーには、
user name
およびpassword
を入力します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow ユーザーの詳細が正しいことを確認してください。ユーザーの詳細が正しくない場合は、
Abort
を選択します。Please make sure that user details are correct and group membership meets expectations (search for PrincipalRecord and GroupRecord titles). Abort if output is incorrect. Select test sequence to execute (Done, Abort, Login, Search) [Abort]:
Please make sure that user details are correct and group membership meets expectations (search for PrincipalRecord and GroupRecord titles). Abort if output is incorrect. Select test sequence to execute (Done, Abort, Login, Search) [Abort]:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 検索機能を手動でテストすることが推奨されます。検索クエリーで、ユーザーアカウントの場合は
Principal
、グループアカウントの場合はGroup
を選択します。ユーザーアカウントのグループアカウント情報を返す場合は、Resolve Groups
でYes
を選択します。3 つの設定ファイルが作成され、画面出力に表示されます。Select test sequence to execute (Done, Abort, Login, Search) [Search]: Search Select entity to search (Principal, Group) [Principal]: Term to search, trailing '*' is allowed: testuser1 Resolve Groups (Yes, No) [No]:
Select test sequence to execute (Done, Abort, Login, Search) [Search]: Search Select entity to search (Principal, Group) [Principal]: Term to search, trailing '*' is allowed: testuser1 Resolve Groups (Yes, No) [No]:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Done
を選択してセットアップを完了します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow ovirt-engine
サービスを再起動します。作成したプロファイルは、管理ポータルおよび仮想マシンポータルのログインページで利用できるようになります。LDAP サーバー上のユーザーアカウントに適切なロールとパーミッションを割り当て、たとえば、VM ポータルにログインするには、「管理ポータルからのユーザータスクの管理」 を参照してください。systemctl restart ovirt-engine.service
# systemctl restart ovirt-engine.service
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
詳細は、/usr/share/doc/ovirt-engine-extension-aaa-ldap-version の LDAP 認証および承認拡張 README ファイルを参照してください。