10.5.25. 设置传统 SPICE 密码
SPICE 控制台默认使用 FIPS 兼容加密和密码字符串。默认的 SPICE 密码字符串为: kECDHE+FIPS:kDHE+FIPS:kRSA+FIPS:!eNULL:!aNULL:!aNULL
此字符串通常已足够。但是,如果您的虚拟机具有较旧的操作系统或 SPICE 客户端,其中一个或另一个不支持 FIPS 兼容的加密,则必须使用更弱的密码字符串。否则,如果您在现有集群中安装新集群或新主机并尝试连接到该虚拟机,则可能会出现连接安全错误。
您可以使用 Ansible playbook 更改密码字符串。
更改密码字符串
在 Manager 计算机上,在
/usr/share/ovirt-engine/playbooks
目录中创建文件。例如:# vim /usr/share/ovirt-engine/playbooks/change-spice-cipher.yml
在文件中输入以下内容并保存它:
name: oVirt - setup weaker SPICE encryption for old clients hosts: hostname vars: host_deploy_spice_cipher_string: 'DEFAULT:-RC4:-3DES:-DES' roles: - ovirt-host-deploy-spice-encryption
运行您刚才创建的文件:
# ansible-playbook -l hostname /usr/share/ovirt-engine/playbooks/change-spice-cipher.yml
另外,您还可以将 --extra-vars
选项与变量 host_deploy_spice_cipher_string
使用 Ansible playbook ovirt-host-deploy
重新配置主机,如下所示:
# ansible-playbook -l hostname \
--extra-vars host_deploy_spice_cipher_string=”DEFAULT:-RC4:-3DES:-DES” \
/usr/share/ovirt-engine/playbooks/ovirt-host-deploy.yml