D.2. Manager と LDAP サーバー間の SSL または TLS 接続の設定

Red Hat Virtualization Manager と LDAP サーバーの間でセキュアな接続を設定するには、LDAP サーバーのルート CA 証明書を取得して、そのルート CA 証明書を Manager にコピーしてから、PEM エンコードされた CA 証明書を作成します。キーストアタイプには、任意の Java 対応タイプを使用することができます。以下の手順では、Java KeyStore (JKS) 形式を使用しています。

注記

PEM エンコードされた CA 証明書の作成およびインポートについての詳しい説明は、/usr/share/doc/ovirt-engine-extension-aaa-ldap-version にある README ファイルの「X.509 CERTIFICATE TRUST STORE」セクションを参照してください。

PEM エンコード CA 証明書の作成

  1. Red Hat Virtualization Manager で、LDAP サーバーのルート CA 証明書を /tmp ディレクトリーにコピーし、keytool を使用してそのルート CA 証明書をインポートし、PEM エンコードされた CA 証明書を作成します。以下のコマンドは、/tmp/myrootca.pem にあるルート CA 証明書をインポートして PEM エンコードされた myrootca.jks という CA 証明書を /etc/ovirt-engine/aaa/ 下に作成します。証明書の場所とパスワードを書き留めてください。対話型の設定ツールを使用する場合に必要な情報はこれですべてです。LDAP サーバーを手動で設定する場合には、残りの手順を実行して、設定ファイルを更新してください。 

    $ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password

  2. 証明書の情報を使用して /etc/ovirt-engine/aaa/profile1.properties ファイルを更新します。

    注記

    ${local:_basedir} は LDAP プロパティー設定ファイルの場所で、/etc/ovirt-engine/aaa ディレクトリーをポイントします。PEM エンコードされた CA 証明書を別のディレクトリーに作成した場合には、${local:_basedir} を証明書のフルパスに置き換えてください。

    • startTLS を使用する場合 (推奨): 

      # Create keystore, import certificate chain and uncomment
pool.default.ssl.startTLS = true
pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
pool.default.ssl.truststore.password = password

    • SSL を使用する場合: 

      # Create keystore, import certificate chain and uncomment
pool.default.serverset.single.port = 636
pool.default.ssl.enable = true
pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
pool.default.ssl.truststore.password = password

外部 LDAP プロバイダーの設定を続行するには、「外部の LDAP プロバイダーの設定 (対話式の設定)」を参照してください。シングルサインオンのための LDAP と Kerberos の設定を続行するには、「シングルサインオンのための LDAP と Kerberos の設定」を参照してください。