10.5.25. レガシー SPICE 暗号の設定
SPICE コンソールでは、デフォルトで FIPS 準拠の暗号化を行い、暗号文字列を使用します。デフォルトの SPICE 暗号文字列は kECDHE+FIPS:kDHE+FIPS:kRSA+FIPS:!eNULL:!aNULL
です。
通常、この文字列で十分です。ただし、古いオペレーティングシステムまたは SPICE クライアントの仮想マシンがあり、そのうちのいずれかが FIPS 準拠の暗号化に対応していない場合は、弱い暗号文字列を使用する必要があります。そうしないと、新規クラスターまたは新規ホストを既存のクラスターにインストールし、その仮想マシンへの接続を試みると、接続のセキュリティーエラーが発生します。
Ansible Playbook を使用して暗号文字列を変更できます。
暗号文字列の変更
Manager マシンで、
/usr/share/ovirt-engine/playbooks
ディレクトリーにファイルを作成します。以下に例を示します。# vim /usr/share/ovirt-engine/playbooks/change-spice-cipher.yml
ファイルに以下を入力し、保存します。
name: oVirt - setup weaker SPICE encryption for old clients hosts: hostname vars: host_deploy_spice_cipher_string: 'DEFAULT:-RC4:-3DES:-DES' roles: - ovirt-host-deploy-spice-encryption
作成したファイルを実行します。
# ansible-playbook -l hostname /usr/share/ovirt-engine/playbooks/change-spice-cipher.yml
または、以下のように変数 host_deploy_spice_cipher_string
に --extra-vars
オプションを指定して、Ansible Playbook ovirt-host-deploy
でホストを再設定できます。
# ansible-playbook -l hostname \
--extra-vars host_deploy_spice_cipher_string=”DEFAULT:-RC4:-3DES:-DES” \
/usr/share/ovirt-engine/playbooks/ovirt-host-deploy.yml