17.2. ドメイン管理ツール
17.2.1. ドメイン管理ツール
Red Hat Enterprise Virtualization Manager は、ディレクトリーサービスでユーザー認証を行います。Red Hat Enterprise Virtualization Manager にユーザーを追加するには、まず internal ドメインの
admin ユーザーとしてユーザー認証に必要なディレクトリーサービスを追加した上で、同梱のドメイン管理ツール (engine-manage-domains) を使用して、ディレクトリーサービスのドメインの追加や削除を行います。
engine-manage-domains コマンドを使用できるのは、Red Hat Enterprise Virtualization Manager がインストールされているマシンのみです。engine-manage-domains コマンドは、root ユーザーとして実行する必要があります。
重要
Red Hat Enterprise Virtualization 3.6 は、このツールをサポートする最後のバージョンです。LDAP プロバイダーの実装を使用してユーザーの認証/承認のためのディレクトリーサーバーを設定します。詳しい説明は 「外部の LDAP プロバイダーの設定 (対話式の設定)」 を参照してください。
旧インプリメンテーションから新規インプリメンテーションへの移行に役立つをアップストリームのツールが利用できます。詳しくは、https://github.com/machacekondra/ovirt-engine-kerbldap-migration/releases を参照してください。
17.2.2. ドメイン管理ツールの構文
このツールに使用する構文は、以下の形式です。
engine-manage-domains ACTION [options]
使用可能なアクションは以下のとおりです。
add- Red Hat Enterprise Virtualization Manager ディレクトリーサービスの設定にドメインを追加します。
edit- Red Hat Enterprise Virtualization Manager ディレクトリーサービスの設定内でドメインを編集します。
delete- Red Hat Enterprise Virtualization Manager ディレクトリーサービスの設定からドメインを削除します。
validate- Red Hat Enterprise Virtualization Manager ディレクトリーサービスの設定を検証します。このコマンドは、設定したユーザー名とパスワードを使用して、設定内の各ドメインの認証を試みます。
list- Red Hat Enterprise Virtualization Manager ディレクトリーサービスの現在の設定を一覧表示します。
コマンドライン上のアクションと組み合わせることのできるオプションは以下のとおりです。
--add-permissions- ドメインユーザーに Red Hat Enterprise Virtualization Manager の SuperUser ロールが割り当てられるように指定します。
--add-permissionsパラメーターが指定されていない場合に、デフォルトでは SuperUser ロールはドメインユーザーに割り当てられません。--add-permissionsオプションは任意指定です。これは、addとeditのアクションと組み合わせて使用する場合のみ有効です。 --change-password-msg=[MSG]- パスワードの有効期限が切れている場合にユーザーに返されるメッセージを指定します。これにより、ユーザーがパスワードを変更することができる特定の URL (http または https から始まる必要あり) に誘導することが可能となります。
--change-password-msgオプションは任意指定で、addとeditのアクションを組み合わせて使用する場合にのみ有効です。 --config-file=[FILE]- コマンドが使用する必要のある代替設定ファイルを指定します。
--config-fileパラメーターは常に任意指定です。 --domain=[DOMAIN]- アクションを実行するドメイン。
--domainパラメーターはadd、edit、およびdeleteのアクションで必須です。 --force- コマンドが削除の操作の確認をスキップするように強制します。
--ldap-servers=[SERVERS]- LDAP サーバーのコンマ区切りリスト
--log-file=[LOG_FILE]- 操作のログを書き込むファイルの名前
--log-level=[LOG_LEVEL]- ログレベル。
DEBUG(the default option),INFO、WARN、またはERRORのいずれかを選択することができます。これらのオプションでは、大文字と小文字は区別されません。 --log4j-config=[LOG4J_FILE]- ログ記録の設定情報を読み込む
log4j.xmlファイル --provider=[PROVIDER]- ドメインのディレクトリーサーバーの LDAP プロバイダータイプ。有効な値は以下のとおりです。
ad: Microsoft Active Directoryipa: Identity Management (IdM)rhds: Red Hat Directory Server。Red Hat Directory Server には Kerberos は実装されていませんが、Red Hat Enterprise Virtualization には Kerberos 認証が必要です。Red Hat Directory Server は、Kerberos ドメイン内でサービスとして実行して、Manager にディレクトリーサービスを提供する必要があります。注記
Red Hat Directory Server をディレクトリーサーバーとして使用するには、その Red Hat Directory Server にmemberofプラグインがインストールされている必要があります。memberofプラグインを使用するには、ユーザーはinetuserである必要がありますitds: IBM Tivoli Directory Serveroldap: OpenLDAP
--report- このコマンドを
validateアクションとともに使用すると、発生した全検証エラーのレポートが出力されます。 --resolve-kdc- DNS を使用してキー配布センターサーバーを解決します。
--user=[USER]- 使用するドメインユーザーを指定します。
-userパラメーターはaddには必須です。また、editには任意指定です。 --password-file=[FILE]- ドメインユーザーのパスワードが、提供されたファイルの最初の行に記載されるように指定します。
addのアクションと共に使用するパスワードを指定するには、このオプションまたは--interactiveオプションを使用する必要があります。
使用方法についての詳細情報は、
engine-manage-domains コマンドのヘルプ出力を参照してください。
# engine-manage-domains --help
17.2.3. ドメイン管理ツールの使用方法
以下のセクションには、Red Hat Enterprise Virtualization Manager ドメイン設定の基本的な操作を行うための
engine-manage-domains コマンドの使用方法の実例を取り上げています。
17.2.4. 設定内のドメインの一覧表示
engine-manage-domains コマンドは、Red Hat Enterprise Virtualization Manager 設定で定義されているディレクトリーサービスドメインを表示します。このコマンドは、ドメインおよびユーザープリンシパル名 (UPN) 形式のユーザー名と、そのドメインがローカルまたはリモートのどちらかを設定エントリーごとに出力します。
例17.1 engine-manage-domains List アクション
# engine-manage-domains list
Domain: directory.demo.redhat.com
User name: admin@DIRECTORY.DEMO.REDHAT.COM
This domain is a remote domain.17.2.5. 設定へのドメイン追加
以下の例では、
engine-manage-domains コマンドを使用して IdM ドメイン directory.demo.redhat.com を Red Hat Enterprise Virtualization Manager の設定に追加します。以下の設定では、このドメインに対してクエリーを実行する際には admin ユーザーを使用し、パスワードは対話的に入力するように指定しています。
例17.2 engine-manage-domains Add アクション
# engine-manage-domains add --domain=directory.demo.redhat.com --provider=IPA --user=admin loaded template kr5.conf file setting default_tkt_enctypes setting realms setting domain realm success User guid is: 80b71bae-98a1-11e0-8f20-525400866c73 Successfully added domain directory.demo.redhat.com. oVirt Engine restart is required in order for the changes to take place (service ovirt-engine restart).
17.2.6. 設定内のドメインの編集
以下の例では、
engine-manage-domains コマンドを使用して、Red Hat Enterprise Virtualization Manager 設定の directory.demo.redhat.com ドメインを編集します。この設定は、ドメインにクエリーを実行する際に admin ユーザーを使用するように更新されます。ここではパスワードは対話的に入力します。
例17.3 engine-manage-domains Edit アクション
# engine-manage-domains -action=edit -domain=directory.demo.redhat.com -user=admin -interactive loaded template kr5.conf file setting default_tkt_enctypes setting realms setting domain realmo success User guide is: 80b71bae-98a1-11e0-8f20-525400866c73 Successfully edited domain directory.demo.redhat.com. oVirt Engine restart is required in order for the changes to take place (service ovirt-engine restart).
17.2.7. ドメイン設定の検証
以下の例では、
engine-manage-domains コマンドを実行して、Red Hat Enterprise Virtualization Manager の設定を検証します。このコマンドは、設定時に指定した認証情報を用いて、記載されている各ドメインへのログインを試みます。ログインに成功すると、ドメインは有効であると報告されます。
例17.4 engine-manage-domains Validate アクション
# engine-manage-domains validate User guide is: 80b71bae-98a1-11e0-8f20-525400866c73 Domain directory.demo.redhat.com is valid.
17.2.8. 設定からのドメイン削除
以下の例では、
engine-manage-domains コマンドを使用して、Red Hat Enterprise Virtualization Manager 設定から directory.demo.redhat.com ドメインを削除します。削除したドメインで定義されていたユーザーは、Red Hat Enterprise Virtualization Manager で認証できなくなります。これらのユーザーのエントリー自体は明示的に削除しない限り、Red Hat Enterprise Virtualization Manager に定義された状態で残ります。
この例で削除したドメインは、Red Hat Enterprise Virtualization Manager 設定に記載されている最後のドメインです。この点と、他のドメインが追加されない限り
internal ドメインからの admin ユーザーしかログインできなくなる点を強調する警告が表示されます。
例17.5 engine-manage-domains Delete アクション
# engine-manage-domains delete --domain=directory.demo.redhat.com WARNING: Domain directory.demo.redhat.com is the last domain in the configuration. After deleting it you will have to either add another domain, or to use the internal admin user in order to login. Successfully deleted domain directory.demo.redhat.com. Please remove all users and groups of this domain using the Administration portal or the API.
