16.2. 域管理工具
16.2.1. 域管理工具
Red Hat Enterprise Virtualization Manager 使用目录服务来验证用户身份。为了把用户添加到 Red Hat Enterprise Virtualization Manager 中,您首先需要使用内部的
admin 用户把用户验证所需的目录服务添加到 Red Hat Enterprise Virtualization Manager 中。您可以使用系统提供的域管理工具 - engine-manage-domains 来添加和删除目录服务域。
engine-manage-domains 命令只能在 Red Hat Enterprise Virtualization Manager 所在的机器上被访问,并只能使用 root 用户来执行。
重要
一个通用的 LDAP 供应商可以被用来配置目录服务器来提供用户验证和授权服务。在配置新的目录服务时,可以使用这个新功能。如需了解更多相关信息,请参阅 第 13.2.2 节 “配置通用的 LDAP 供应商”。
我们推荐在 Red Hat Enterprise Virtualization 环境中,那些通过
engine-manage-domains 工具配置的目录服务继续使用原来存在的技术。
16.2.2. 域管理工具的语法
使用语法是:
engine-manage-domains ACTION [options]
有效的操作(ACTION)包括:
add- 把一个域添加到 Red Hat Enterprise Virtualization Manager 的目录服务配置中。
edit- 在 Red Hat Enterprise Virtualization Manager 的目录服务配置中编辑一个域。
delete- 从 Red Hat Enterprise Virtualization Manager 的目录服务配置中删除一个域。
validate- 验证 Red Hat Enterprise Virtualization Manager 的目录服务配置。这个命令会尝试使用所配置的用户和密码来验证配置中的每个域。
list- 列出 Red Hat Enterprise Virtualization Manager 当前的目录服务配置。
以下选项可以和命令行中指定的操作一起使用:
--add-permissions- 指定要在 Red Hat Enterprise Virtualization Manager 中被赋予 SuperUser 角色的域用户。在默认情况下,如果
--add-permissions参数没有被使用,SuperUser 角色不会分配给任何域用户。--add-permissions是一个可选项,它只能与add和edit操作一起使用。 --change-password-msg=[MSG]- 当用户使用过期的密码登录时所看到的信息。您可以使用这个选项来指定用来修改用户密码的 URL(必须以 http 或 https开头)。
--change-password-msg是一个可选项,只能与add和edit操作一起使用。 --config-file=[FILE]- 指定这个命令必须使用的一个配置文件。
--config-file是一个可选项。 --domain=[DOMAIN]- 需要进行操作的域。对于
add、edit和delete操作,--domain参数是必须使用的。 --force- 强制命令跳过“确认删除操作"这一步。
--ldap-servers=[SERVERS]- 为域设置的一组以逗号分隔的 LDAP 服务器。
--log-file=[LOG_FILE]- 用来记录操作日志信息的文件的文件名。
--log-level=[LOG_LEVEL]- 日志的级别。您可以选择
DEBUG(默认选项)、INFO、WARN或ERROR。这些选项的值不区分大小写。 --log4j-config=[LOG4J_FILE]- 用来读取日志配置信息的
log4j.xml文件。 --provider=[PROVIDER]- 域的目录服务器的 LDAP 类型。有效值包括:
ad- Microsoft Active Directory。ipa- Identity Management (IdM)。rhds- Red Hat Directory Server。Red Hat Directory Server 并不带有 Kerberos,而 Red Hat Enterprise Virtualization 需要 Kerberos 验证。Red Hat Directory Server 必须在 Kerberos 域中作为一个服务运行,来为 Manager 提供目录服务。注意
要使用 Red Hat Directory Server 作为您的目录服务器,您必须在 Red Hat Directory Server 上安装memberof插件。要使用memberof插件,您的用户必须是inetuser。itds- IBM Tivoli Directory Server。oldap- OpenLDAP。
--report- 当在
validate操作中使用这个参数时,这个命令会输出一个包括所有验证错误信息的报告。 --resolve-kdc- 使用 DNS 解析密钥发行服务器。
--user=[USER]- 指定要使用的域用户。对于
add命令,--user参数是必须的,而对于edit命令,这个参数是可选的。 --password-file=[FILE]- 指定域用户的密码包括在所提供文件的第一行中。在使用
add操着时,密码必须通过这个参数或--interactive来提供。
如需更多关于使用这个命令的信息,请参阅
engine-manage-domains 命令的帮助信息:
# engine-manage-domains --help
16.2.3. 使用域管理工具
以下实例显示了如何使用
engine-manage-domains 命令来进行基本的 Red Hat Enterprise Virtualization Manager 域配置。
16.2.4. 列出配置中的域
engine-manage-domains 命令列出 Red Hat Enterprise Virtualization Manager 配置中定义的目录服务域。这个命令输出每条配置记录的域、用户名(User Principal Name(UPN)格式)以及这个域是本地的还是远程的。
例 16.1. engine-manage-domains List 操作
# engine-manage-domains list
Domain: directory.demo.redhat.com
User name: admin@DIRECTORY.DEMO.REDHAT.COM
This domain is a remote domain.16.2.5. 为配置添加域
在这个例子中,
engine-manage-domains 为 Red Hat Enterprise Virtualization Manager 配置添加了 IdM 域 directory.demo.redhat.com。配置被设置为:使用 admin 用户来对域进行查询,用户会被提示输入密码。
例 16.2. engine-manage-domains Add 操作
# engine-manage-domains add --domain=directory.demo.redhat.com --provider=IPA --user=admin loaded template kr5.conf file setting default_tkt_enctypes setting realms setting domain realm success User guid is: 80b71bae-98a1-11e0-8f20-525400866c73 Successfully added domain directory.demo.redhat.com. oVirt Engine restart is required in order for the changes to take place (service ovirt-engine restart).
16.2.6. 在配置中编辑一个域
在这个例子中,
engine-manage-domains 命令编辑 Red Hat Enterprise Virtualization Manager 配置中的 directory.demo.redhat.com 域。配置被更新为:使用 admin 用户来对域进行查询;用户会被提示输入密码。
例 16.3. engine-manage-domains Edit 操作
# engine-manage-domains -action=edit -domain=directory.demo.redhat.com -user=admin -interactive loaded template kr5.conf file setting default_tkt_enctypes setting realms setting domain realmo success User guide is: 80b71bae-98a1-11e0-8f20-525400866c73 Successfully edited domain directory.demo.redhat.com. oVirt Engine restart is required in order for the changes to take place (service ovirt-engine restart).
16.2.7. 验证域配置
在这个例子中,
engine-manage-domains 命令被用来验证 Red Hat Enterprise Virtualization Manager 配置。这个命令会尝试使用配置中所提供的用户信息登录到每个域上。如果登录成功,相应的域就被认为是有效的。
例 16.4. engine-manage-domains Validate 操作
# engine-manage-domains validate User guide is: 80b71bae-98a1-11e0-8f20-525400866c73 Domain directory.demo.redhat.com is valid.
16.2.8. 从配置中删除一个域
在这个例子中,
engine-manage-domains 从 Red Hat Enterprise Virtualization Manager 配置中删除 directory.demo.redhat.com 域。被删除域中的用户将无法被用来和 Red Hat Enterprise Virtualization Manager 进行验证。受影响的用户记录仍然存在于 Red Hat Enterprise Virtualization Manager 中,直到它们被删除。
这个例子中所删除的域是 Red Hat Enterprise Virtualization Manager 配置中的最后一个域。一个关于这个操作的警告信息会被显示,在其它域被添加以前,只有
internal 域中的 admin 用户可以登录。
例 16.5. engine-manage-domains Delete 操作
# engine-manage-domains delete --domain=directory.demo.redhat.com WARNING: Domain directory.demo.redhat.com is the last domain in the configuration. After deleting it you will have to either add another domain, or to use the internal admin user in order to login. Successfully deleted domain directory.demo.redhat.com. Please remove all users and groups of this domain using the Administration portal or the API.
