E.2. 在 Manager 和 LDAP 服务器间设置加密通信
要设置 Red Hat Virtualization Manager 和 LDAP 服务器之间的加密通信,获取 LDAP 服务器的 root CA 证书,将 root CA 证书复制到 Manager,并创建 PEM 编码的 CA 证书。密钥存储类型可以是任何支持 Java 的类型。以下流程使用 Java KeyStore (JKS)格式。
有关创建 PEM 编码的 CA 证书并导入证书的更多信息,请参阅 README 文件(位于 /usr/share/doc/ovirt-engine-extension-aaa-ldap-<version>.)的 X.509 CERTIFICATE TRUST STORE 部分。
ovirt-engine-extension-aaa-ldap 已被弃用。对于新安装,请使用 Red Hat Single Sign On。如需更多信息,请参阅 《管理指南》 中的 安装和配置 Red Hat Single Sign-On。
流程
在 Red Hat Virtualization Manager 中,将 LDAP 服务器的 root CA 证书复制到 /tmp 目录中,并使用
keytool创建 PEM 编码的 CA 证书导入 root CA 证书。以下命令在 /tmp/myrootca.pem 中导入 root CA 证书,并在 /etc/ovirt-engine/aaa/ 下创建一个 PEM 编码的 CA 证书 myrootca.jks。记下证书的位置和密码。如果您使用交互式设置工具,则这是您需要的所有信息。如果要手动配置 LDAP 服务器,请按照其余步骤更新配置文件。$ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password
使用证书信息更新 /etc/ovirt-engine/aaa/profile1.properties 文件:
注意${local:_basedir}是 LDAP 属性配置文件所在的目录,并指向 /etc/ovirt-engine/aaa 目录。如果您在不同的目录中创建 PEM 编码的 CA 证书,请使用证书的完整路径替换${local:_basedir}。使用 startTLS (推荐):
# Create keystore, import certificate chain and uncomment pool.default.ssl.startTLS = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password使用 SSL:
# Create keystore, import certificate chain and uncomment pool.default.serverset.single.port = 636 pool.default.ssl.enable = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password
要继续配置外部 LDAP 供应商,请参阅配置外部 LDAP 提供程序。要继续为单点登录配置 LDAP 和 Kerberos,请参阅为单点登录配置 LDAP 和 Kerberos。
