Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

19.3. 外部 LDAP プロバイダーの設定

19.3.1. 外部 LDAP プロバイダーの設定 (対話型セットアップ)
リンクのコピー

ovirt-engine-extension-aaa-ldap 拡張機能を使用すると、ユーザーは外部ディレクトリーの設定を簡単にカスタマイズできます。ovirt-engine-extension-aaa-ldap 拡張機能は多くの異なる LDAP サーバータイプをサポートし、ほとんどの LDAP タイプのセットアップを支援するインタラクティブなセットアップスクリプトが提供されています。

LDAP サーバーの種類が対話型セットアップスクリプトにリストされていない場合、またはさらにカスタマイズしたい場合は、設定ファイルを手動で編集できます。詳細は、「外部 LDAP プロバイダーの設定 (手動による方法)」 を参照してください。

Active Directory の例は、「Active Directory の接続」 を参照してください。

前提条件:

  • DNS または LDAP サーバーのドメイン名を知っている必要があります。
  • LDAP サーバーとマネージャーの間に安全な接続を設定するには、PEM でエンコードされた CA 証明書が準備されていることを確認してください。
  • LDAP サーバーへの検索およびログインクエリーを実行するために、少なくとも 1 セットのアカウント名とパスワードを用意します。

外部 LDAP プロバイダーの設定

  1. Red Hat Virtualization Manager で、LDAP 拡張パッケージをインストールします。 

    # yum install ovirt-engine-extension-aaa-ldap-setup
    Copy to Clipboard Toggle word wrap

  2. ovirt-engine-extension-aaa-ldap-setup を実行して、対話型セットアップを開始します。 

    # ovirt-engine-extension-aaa-ldap-setup
    Copy to Clipboard Toggle word wrap

  3. 対応する番号を入力して、LDAP タイプを選択します。LDAP サーバーがどのスキーマであるかわからない場合は、LDAP サーバータイプの標準スキーマを選択してください。Active Directory の場合は、「Active Directory の接続」 の手順に従います。 

    Available LDAP implementations:
 1 - 389ds
 2 - 389ds RFC-2307 Schema
 3 - Active Directory
 4 - IBM Security Directory Server
 5 - IBM Security Directory Server RFC-2307 Schema
 6 - IPA
 7 - Novell eDirectory RFC-2307 Schema
 8 - OpenLDAP RFC-2307 Schema
 9 - OpenLDAP Standard Schema
10 - Oracle Unified Directory RFC-2307 Schema
11 - RFC-2307 Schema (Generic)
12 - RHDS
13 - RHDS RFC-2307 Schema
14 - iPlanet
Please select:
    Copy to Clipboard Toggle word wrap

  4. Enter を押してデフォルトを受け入れ、LDAP サーバー名のドメイン名解決を設定します。 

    It is highly recommended to use DNS resolution for LDAP server.
If for some reason you intend to use hosts or plain address disable DNS usage.
Use DNS (Yes, No) [Yes]:
    Copy to Clipboard Toggle word wrap

  5. DNS ポリシー方式を選択します。

    • オプション 1 の場合、/etc/resolv.conf にリストされている DNS サーバーを使用して IP アドレスを解決します。/etc/resolv.conf ファイルが正しい DNS サーバーで更新されていることを確認します。

    • オプション 2 には、完全修飾ドメイン名 (FQDN) または LDAP サーバーの IP アドレスを入力します。SRV レコードで dig コマンドを使用して、ドメイン名を見つけることができます。SRV レコードは次の形式を取ります。 

      _service._protocol.domain_name
      Copy to Clipboard Toggle word wrap

      例: dig _ldap._tcp.redhat.com SRV

    • オプション 3 には、LDAP サーバーのスペース区切りのリストを入力します。サーバーの FQDN または IP アドレスのいずれかを使用します。このポリシーは、LDAP サーバー間の負荷分散を提供します。クエリーは、ラウンドロビンアルゴリズムに従ってすべての LDAP サーバーに分散されます。

    • オプション 4 には、スペースで区切られた LDAP サーバーのリストを入力します。サーバーの FQDN または IP アドレスのいずれかを使用します。このポリシーは、クエリーに応答するデフォルトの LDAP サーバーとなる最初の LDAP サーバーを定義します。最初のサーバーが使用できない場合、クエリーはリストの次の LDAP サーバーに移動します。 

      1 - Single server
2 - DNS domain LDAP SRV record
3 - Round-robin between multiple hosts
4 - Failover between multiple hosts
Please select:
      Copy to Clipboard Toggle word wrap

  6. LDAP サーバーがサポートする安全な接続方法を選択し、PEM でエンコードされた CA 証明書を取得する方法を指定します。

    • File を使用すると、証明書へのフルパスを指定できます。
    • URL を使用すると、証明書の URL を指定できます。
    • Inline を使用すると、証明書の内容をターミナルに貼り付けることができます。
    • System では、すべての CA ファイルのデフォルトの場所を指定できます。

    • Insecure は証明書の検証をスキップしますが、接続は引き続き TLS を使用して暗号化されます。 

      NOTE:
It is highly recommended to use secure protocol to access the LDAP server.
Protocol startTLS is the standard recommended method to do so.
Only in cases in which the startTLS is not supported, fallback to non standard ldaps protocol.
Use plain for test environments only.
Please select protocol to use (startTLS, ldaps, plain) [startTLS]: startTLS
Please select method to obtain PEM encoded CA certificate (File, URL, Inline, System, Insecure):
Please enter the password:
      Copy to Clipboard Toggle word wrap
      注記

      LDAPS は、セキュアソケットリンクを介したライトウェイトディレクトリーアクセスプロトコルの略です。SSL 接続の場合は、ldaps オプションを選択します。

  7. 検索ユーザーの識別名 (DN) を入力します。ユーザーには、Directory Server 上のすべてのユーザーとグループを参照するためのアクセス許可が必要です。検索ユーザーは、LDAP アノテーションで指定する必要があります。匿名検索が許可されている場合は、入力せずに Enter を押します。 

    Enter search user DN (for example uid=username,dc=example,dc=com or leave empty for anonymous): uid=user1,ou=Users,ou=department-1,dc=example,dc=com
Enter search user password:
    Copy to Clipboard Toggle word wrap

  8. ベース DN を入力します。 

    Please enter base DN (dc=redhat,dc=com) [dc=redhat,dc=com]: ou=department-1,dc=redhat,dc=com
    Copy to Clipboard Toggle word wrap

  9. 仮想マシン用に Single Sign-On を設定する場合は、Yes を選択します。この機能は、管理ポータル機能に対する Single Sign-On では使用できないことに注意してください。スクリプトは、プロファイル名がドメイン名と一致する必要があることを通知します。仮想マシン管理ガイド仮想マシン用の Single Sign-On の設定 の手順に従う必要があります。 

    Are you going to use Single Sign-On for Virtual Machines (Yes, No) [Yes]:
    Copy to Clipboard Toggle word wrap

  10. プロファイル名を指定します。プロファイル名は、ログインページでユーザーに表示されます。この例では、redhat.com を使用しています。

    注記

    ドメインの設定後にプロファイルの名前を変更するには、/etc/ovirt-engine/extensions.d/redhat.com-authn.properties ファイルの ovirt.engine.aaa.authn.profile.name 属性を編集します。変更を反映するには、ovirt-engine サービスを再起動します。 

    Please specify profile name that will be visible to users: redhat.com
    Copy to Clipboard Toggle word wrap

    図19.1 管理ポータルのログインページ

    AAA ログインプロファイル
    View larger image
    AAA ログインプロファイル
    注記

    ユーザーは、初めてログインするときにドロップダウンリストからプロファイルを選択する必要があります。情報はブラウザーの Cookie に保存され、ユーザーが次にログインしたときに事前に選択されます。

  11. ログイン機能をテストして、LDAP サーバーが Red Hat Virtualization 環境に正しく接続されていることを確認します。ログインクエリーには、user name および password を入力します。 

    NOTE:
It is highly recommended to test drive the configuration before applying it into engine.
Login sequence is executed automatically, but it is recommended to also execute Search sequence manually after successful Login sequence.

Please provide credentials to test login flow:
Enter user name:
Enter user password:
[ INFO  ] Executing login sequence...
...
[ INFO  ] Login sequence executed successfully
    Copy to Clipboard Toggle word wrap

  12. ユーザーの詳細が正しいことを確認してください。ユーザーの詳細が正しくない場合は、Abort を選択します。 

    Please make sure that user details are correct and group membership meets expectations (search for PrincipalRecord and GroupRecord titles).
Abort if output is incorrect.
Select test sequence to execute (Done, Abort, Login, Search) [Abort]:
    Copy to Clipboard Toggle word wrap

  13. 検索機能を手動でテストすることが推奨されます。検索クエリーで、ユーザーアカウントの場合は Principal、グループアカウントの場合は Group を選択します。ユーザーアカウントのグループアカウント情報を返す場合は、Resolve GroupsYes を選択します。3 つの設定ファイルが作成され、画面出力に表示されます。 

    Select test sequence to execute (Done, Abort, Login, Search) [Search]: Search
Select entity to search (Principal, Group) [Principal]:
Term to search, trailing '*' is allowed: testuser1
Resolve Groups (Yes, No) [No]:
    Copy to Clipboard Toggle word wrap

  14. Done を選択してセットアップを完了します。 

    Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Done
[ INFO  ] Stage: Transaction setup
[ INFO  ] Stage: Misc configuration
[ INFO  ] Stage: Package installation
[ INFO  ] Stage: Misc configuration
[ INFO  ] Stage: Transaction commit
[ INFO  ] Stage: Closing up
CONFIGURATION SUMMARY
Profile name is: redhat.com
The following files were created:
    /etc/ovirt-engine/aaa/redhat.com.properties
    /etc/ovirt-engine/extensions.d/redhat.com.properties
    /etc/ovirt-engine/extensions.d/redhat.com-authn.properties
[ INFO  ] Stage: Clean up
Log file is available at /tmp/ovirt-engine-extension-aaa-ldap-setup-20171004101225-mmneib.log:
[ INFO  ] Stage: Pre-termination
[ INFO  ] Stage: Termination
    Copy to Clipboard Toggle word wrap

  15. ovirt-engine サービスを再起動します。作成したプロファイルは、管理ポータルおよび仮想マシンポータルのログインページで利用できるようになります。LDAP サーバー上のユーザーアカウントに適切なロールとパーミッションを割り当て、たとえば、VM ポータルにログインするには、「管理ポータルからのユーザータスクの管理」 を参照してください。 

    # systemctl restart ovirt-engine.service
    Copy to Clipboard Toggle word wrap
注記

詳細は、/usr/share/doc/ovirt-engine-extension-aaa-ldap-version の LDAP 認証および承認拡張 README ファイルを参照してください。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat