19.3. 配置外部 LDAP 供应商
19.3.1. 配置外部 LDAP 提供程序(活动设置)
ovirt-engine-extension-aaa-ldap 扩展允许用户轻松自定义其外部目录设置。ovirt-engine-extension-aaa-ldap 扩展支持许多不同的 LDAP 服务器类型,还提供了交互式设置脚本,以帮助您设置大多数 LDAP 类型。
如果交互式设置脚本中没有列出 LDAP 服务器类型,或者您希望进行更多自定义,您可以手动编辑配置文件。如需更多信息,请参阅 第 19.3.3 节 “配置外部 LDAP 提供程序(Manual Method)”。
有关 Active Directory 示例,请参考 第 19.3.2 节 “附加 Active Directory”。
先决条件:
- 您必须知道 DNS 或 LDAP 服务器的域名。
- 要在 LDAP 服务器和 Manager 间设置安全连接,请确保已准备好 PEM 编码的 CA 证书。
- 至少有一组帐户名称和密码已准备好对 LDAP 服务器执行搜索和登录查询。
配置外部 LDAP 供应商
在 Red Hat Virtualization Manager 中,安装 LDAP 扩展软件包:
# yum install ovirt-engine-extension-aaa-ldap-setup
运行
ovirt-engine-extension-aaa-ldap-setup来启动交互式设置:# ovirt-engine-extension-aaa-ldap-setup
输入对应数字来选择 LDAP 类型。如果您不确定 LDAP 服务器是哪个 schema,请选择您的 LDAP 服务器类型的标准模式。对于 Active Directory,请按照 第 19.3.2 节 “附加 Active Directory” 的步骤操作。
Available LDAP implementations: 1 - 389ds 2 - 389ds RFC-2307 Schema 3 - Active Directory 4 - IBM Security Directory Server 5 - IBM Security Directory Server RFC-2307 Schema 6 - IPA 7 - Novell eDirectory RFC-2307 Schema 8 - OpenLDAP RFC-2307 Schema 9 - OpenLDAP Standard Schema 10 - Oracle Unified Directory RFC-2307 Schema 11 - RFC-2307 Schema (Generic) 12 - RHDS 13 - RHDS RFC-2307 Schema 14 - iPlanet Please select:
按
Enter接受默认值,并为 LDAP 服务器名称配置域名:It is highly recommended to use DNS resolution for LDAP server. If for some reason you intend to use hosts or plain address disable DNS usage. Use DNS (Yes, No) [Yes]:
选择 DNS 策略方法:
- 对于选项 1,使用 /etc/resolv.conf 中列出的 DNS 服务器来解决 IP 地址。检查 /etc/resolv.conf 文件是否已使用正确的 DNS 服务器更新。
对于选项 2,请输入完全限定域名(FQDN)或 LDAP 服务器的 IP 地址。您可以使用
dig命令和 SRV 记录来查找域名。SRV 记录采用以下格式:_service._protocol.domain_name
示例:
dig _ldap._tcp.redhat.com SRV.- 对于选项 3,请输入以空格分隔的 LDAP 服务器列表。使用服务器的 FQDN 或 IP 地址。此策略在 LDAP 服务器之间提供负载平衡。根据循环算法,查询在所有 LDAP 服务器中分发。
对于选项 4,请输入以空格分隔的 LDAP 服务器列表。使用服务器的 FQDN 或 IP 地址。此策略定义了第一个 LDAP 服务器作为响应查询的默认 LDAP 服务器。如果第一个服务器不可用,则查询将进入列表中的下一个 LDAP 服务器。
1 - Single server 2 - DNS domain LDAP SRV record 3 - Round-robin between multiple hosts 4 - Failover between multiple hosts Please select:
选择 LDAP 服务器支持的安全连接方法,并指定获取 PEM 编码的 CA 证书的方法:
-
文件允许您提供证书的完整路径。 -
URL允许您指定证书的 URL。 -
内联允许您在终端中粘贴证书的内容。 -
系统允许您指定所有 CA 文件的默认位置。 不安全的跳过证书验证,但连接仍然使用 TLS 加密。NOTE: It is highly recommended to use secure protocol to access the LDAP server. Protocol startTLS is the standard recommended method to do so. Only in cases in which the startTLS is not supported, fallback to non standard ldaps protocol. Use plain for test environments only. Please select protocol to use (startTLS, ldaps, plain) [startTLS]: startTLS Please select method to obtain PEM encoded CA certificate (File, URL, Inline, System, Insecure): Please enter the password:注意LDAPS 代表覆盖安全套接字链接的轻量级目录访问协议。对于 SSL 连接,请选择
ldaps选项。
-
输入搜索用户可分辨名称(DN)。用户必须具有权限才能浏览目录服务器上的所有用户和组。搜索用户必须在 LDAP 注解中指定。如果允许匿名搜索,请按
Enter键,无需输入。Enter search user DN (for example uid=username,dc=example,dc=com or leave empty for anonymous):
uid=user1,ou=Users,ou=department-1,dc=example,dc=comEnter search user password:输入基本 DN:
Please enter base DN (dc=redhat,dc=com) [dc=redhat,dc=com]: ou=department-1,dc=redhat,dc=com如果您想要为虚拟机配置单点登录,请选择"是"。请注意,这个功能不能用于管理门户功能的单点登录。该脚本提醒您配置集名称必须与域名匹配。在虚拟机管理指南中,您仍需要遵循 为虚拟机配置单点登录 的说明 。Are you going to use Single Sign-On for Virtual Machines (Yes, No) [Yes]:
指定配置集名称。配置集名称对登录页面上的用户可见。这个示例使用
redhat.com。注意要在域配置后重命名配置集,编辑 /etc/ovirt-engine/extensions.d/redhat.com-authn.properties 文件中的
ovirt.engine.aaa.authn.profile.name属性。重启ovirt-engine服务以使更改生效。Please specify profile name that will be visible to users: redhat.com图 19.1. 管理门户登录页面
注意首次登录时,用户必须从下拉菜单中选择配置集。这些信息存储在浏览器 Cookie 中,并在用户下一次登录时预选择。
测试登录功能,以确保您的 LDAP 服务器已正确地连接到您的 Red Hat Virtualization 环境。对于登录查询,请输入您的
用户名和密码:NOTE: It is highly recommended to test drive the configuration before applying it into engine. Login sequence is executed automatically, but it is recommended to also execute Search sequence manually after successful Login sequence. Please provide credentials to test login flow: Enter user name: Enter user password: [ INFO ] Executing login sequence... ... [ INFO ] Login sequence executed successfully
检查用户详情是否正确。如果用户详情不正确,请选择
Abort:Please make sure that user details are correct and group membership meets expectations (search for PrincipalRecord and GroupRecord titles). Abort if output is incorrect. Select test sequence to execute (Done, Abort, Login, Search) [Abort]:
建议手动测试搜索功能。对于搜索查询,请为用户帐户选择
Principal,或者为组帐户选择Group。如果您希望返回用户帐户的组信息,对于Resolve Groups选择Yes。会创建三个配置文件,并显示在屏幕输出中。Select test sequence to execute (Done, Abort, Login, Search) [Search]: Search Select entity to search (Principal, Group) [Principal]: Term to search, trailing '*' is allowed: testuser1 Resolve Groups (Yes, No) [No]:
选择
Done以完成设置:Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Done [ INFO ] Stage: Transaction setup [ INFO ] Stage: Misc configuration [ INFO ] Stage: Package installation [ INFO ] Stage: Misc configuration [ INFO ] Stage: Transaction commit [ INFO ] Stage: Closing up CONFIGURATION SUMMARY Profile name is: redhat.com The following files were created: /etc/ovirt-engine/aaa/redhat.com.properties /etc/ovirt-engine/extensions.d/redhat.com.properties /etc/ovirt-engine/extensions.d/redhat.com-authn.properties [ INFO ] Stage: Clean up Log file is available at /tmp/ovirt-engine-extension-aaa-ldap-setup-20171004101225-mmneib.log: [ INFO ] Stage: Pre-termination [ INFO ] Stage: Termination重新启动
ovirt-engine服务。您所创建的配置集现在包括在管理门户和虚拟机门户中。要在 LDAP 服务器上分配适当的角色和权限,如要登录到虚拟机门户,请参阅 第 19.7 节 “从管理门户管理用户任务”。# systemctl restart ovirt-engine.service
如需更多信息,请参阅 /usr/share/doc/ovirt-engine-extension-aaa-ldap-version 中的 LDAP 身份验证和授权扩展 README 文件。
