E.3. FIPS の暗号化された VNC コンソールの有効化

手順

1. 管理ポータルで、Compute Clusters をクリックします。
2. VNC 暗号化を有効にする予定のクラスターを選択し、Edit をクリックします。Edit Cluster ウィンドウが開きます。
3. Console タブを選択します。
4. Enable VNC Encryption チェックボックスを選択し、OK をクリックします。

手順

1. 管理ポータルで、FIPS 対応のホストをメンテナンスモードにします。

   1. Compute Hosts をクリックします。

   2. Virtual Machines 列で、各ホストの仮想マシンがゼロであることを確認します。

      必要に応じて、ライブマイグレーションを実行してホストから仮想マシンを削除します。ホスト間での仮想マシンの移行 を参照してください。

   3. 各ホストを選択し、Management Maintenance および OK をクリックします。

2. Manager が実行されているマシンのコマンドラインに接続します。

   • スタンドアロン Manager の場合:

     # ssh root@rhvm

   • セルフホスト型エンジンの場合: Compute Virtual Machines の順にクリックし、デフォルトの名前が HostedEngine のセルフホスト型エンジンの仮想マシンを選択して、Console をクリックします。

3. ホストごとに VNC SASL Ansible Playbook を実行します。

   # cd /usr/share/ovirt-engine/ansible-runner-service-project/project/
   # ansible-playbook --ask-pass --inventory=<hostname> ovirt-vnc-sasl.yml <1>

   Compute Hosts に表示される ホスト名 を指定します。

4. ホストを選択し、Installation Reinstall をクリックします。
5. 再インストールしたら、ホストを選択し、Management Restart をクリックします。
6. 再起動したら、ホストを選択し、Management Activate をクリックします。

手順

1. https://<engine_address>/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA に移動します。
2. すべての信頼設定を有効にします。

3. VNC コンソールを実行する予定のクライアントマシンで、証明書ファイルのディレクトリーを作成します。

   $ mkdir ~/.pki/CA

   警告

   この手順で mkdir: cannot create directory ‘/home/example_user/.pki/CA': File exists などのエラーを生成する場合は、次の手順で ~/.pki/CA/cacert.pem が上書きされないように予防措置を取ります。たとえば、ファイル名に現在の日付を含めます。

4. 証明書をダウンロードします。

   $ curl -k -o ~/.pki/CA/cacert-<today’s date>.pem '\https://<engine_address>/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'

5. ブラウザーに認証局をインストールします。

   • Firefox
   • Internet Explorer
   • Google Chrome

6. クライアントマシンに SASL SCRAM ライブラリーをインストールします。

   $ sudo dnf install cyrus-sasl-scram

検証手順

1. 作成した FIPS 対応のホストのいずれかで仮想マシンを実行します。
2. VNC コンソールを使用して仮想マシンに接続します。