D.2. 관리자와 LDAP 서버 간 암호화 통신 설정
Red Hat Virtualization Manager와 LDAP 서버 간에 암호화된 통신을 설정하려면 LDAP 서버의 루트 CA 인증서를 가져와서 관리자에 루트 CA 인증서를 복사하고 PEM 인코딩 CA 인증서를 생성합니다. 키 저장소 유형은 모든 Java 지원 유형일 수 있습니다. 다음 절차에서는 JDK(Java KeyStore) 형식을 사용합니다.
PEM 인코딩 CA 인증서 생성 및 인증서 가져오기에 대한 자세한 내용은 README 파일의 X.509ECDHERTIFICATEUST STORE
섹션을 참조하십시오. /usr/share/doc/ovirt-engine-extension-aaa-ldap-버전.
PEM 인코딩 CA 인증서 생성
Red Hat Virtualization Manager에서 LDAP 서버의 루트 CA 인증서를 /tmp 디렉터리에 복사하고
keytool
을 사용하여 PEM 인코딩 CA 인증서를 생성합니다. 다음 명령은 /tmp/myrootca.pem 에서 루트 CA 인증서를 가져오고 /etc/ovirt-engine/aaa/ 아래에 PEM 인코딩 CA 인증서 myrootca.jks 를 생성합니다. 인증서의 위치와 암호를 기록해 둡니다. 대화형 설정 도구를 사용하는 경우 필요한 모든 정보입니다. LDAP 서버를 수동으로 구성하는 경우 나머지 절차에 따라 구성 파일을 업데이트합니다.$ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password
/etc/ovirt-engine/aaa/profile1.properties 파일을 인증서 정보로 업데이트합니다.
참고${local:_basedir}
는 LDAP 속성 구성 파일이 있고 /etc/ovirt-engine/aaa 디렉터리를 가리키는 디렉터리입니다. PEM 인코딩 CA 인증서를 다른 디렉터리에 생성한 경우${local:_basedir}
를 인증서의 전체 경로로 교체합니다.startTLS(권장됨)를 사용하려면 다음을 수행합니다.
# Create keystore, import certificate chain and uncomment pool.default.ssl.startTLS = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password
SSL을 사용하려면 다음을 수행합니다.
# Create keystore, import certificate chain and uncomment pool.default.serverset.single.port = 636 pool.default.ssl.enable = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password
외부 LDAP 공급자 구성을 계속 보려면 외부 LDAP 공급자 구성을 참조하십시오. LDAP 및 Kerberos for Single Sign-on을 계속 구성하려면 SSO( Single Sign-On)용 LDAP 및 Kerberos 구성 을 참조하십시오.