4.2. 仮想マシンへのシングルサインオン (SSO) 設定

シングルサインオン (認証委任とも呼ばれる) を設定すると、VM ユーザーポータルへのログインで使用した認証情報で仮想マシンに自動的にログインできます。シングルサインオンは、Red Hat Enterprise Linux 仮想マシンおよび Windows 仮想マシンの両方で使用できます。

重要

VM ユーザーポータルへのシングルサインオンが有効になっている場合は、仮想マシンへのシングルサインオンは使用できません。VM ユーザーポータルへのシングルサインオンが有効な状態では、VM ユーザーポータルによるパスワードの確認が必要ないため、このパスワードが渡されず、仮想マシンにサインインできません。

4.2.1. IPA (IdM) を使用した Red Hat Enterprise Linux 仮想マシンへのシングルサインオン (SSO) 設定

GNOME と KDE グラフィカルデスクトップ環境および IPA (IdM) サーバーを使用して、Red Hat Enterprise Linux 仮想マシンのシングルサインオンを設定するには、仮想マシンに ovirt-guest-agent パッケージと、ウィンドウマネージャー関連のパッケージをインストールする必要があります。

重要

以下の手順は、IPA の設定が正常に機能している状態で、かつ IPA ドメインが Manager にアタッチ済みであることを前提としています。また、NTP を使用して、Manager、仮想マシン、および IPA (IdM) をホストするシステムのクロックを確実に同期させる必要があります。

Red Hat Enterprise Linux 仮想マシンへのシングルサインオン (SSO) 設定

  1. Red Hat Enterprise Linux 仮想マシンにログインします。

  2. 必要なリポジトリーを有効にします。

    • Red Hat Enterprise Linux 6 の場合 

      # subscription-manager repos --enable=rhel-6-server-rhv-4-agent-rpms

    • Red Hat Enterprise Linux 7 の場合 

      # subscription-manager repos --enable=rhel-7-server-rh-common-rpms

  3. ゲストエージェントパッケージをダウンロードして、インストールします。 

    # yum install ovirt-guest-agent-common

  4. シングルサインオンパッケージをインストールします。 

    # yum install ovirt-guest-agent-pam-module
# yum install ovirt-guest-agent-gdm-plugin

  5. IPA パッケージをインストールします。 

    # yum install ipa-client

  6. 以下のコマンドを実行し、プロンプトに従って ipa-client を設定し、仮想マシンをドメインにアタッチします。 

    # ipa-client-install --permit --mkhomedir
    注記

    DNS 難読化を使用する環境では、このコマンドは以下のようになります。 

    # ipa-client-install --domain=FQDN --server==FQDN

  7. Red Hat Enterprise Linux 7.2 以降では、以下のコマンドを実行します。 

    # authconfig --enablenis --update
    注記

    Red Hat Enterprise Linux 7.2 では、System Security Services Daemon (SSSD) の新しいバージョンが導入されましたが、その設定は、Red Hat Virtualization Manager のゲストエージェントのシングルサインオン実装との互換性がありません。上記のコマンドを実行することで、シングルサインオンが確実に機能するようになります。

  8. IPA ユーザーの詳細を取得します。 

    # getent passwd IPA_user_name

    これに対し、以下のような出力が返されます。 

    some-ipa-user:*:936600010:936600001::/home/some-ipa-user:/bin/sh

    次のステップで、some-ipa-user のホームディレクトリーを作成する際にこの情報が必要になります。

  9. IPA ユーザーのホームディレクトリーを設定します。

    1. 新規ユーザーのホームディレクトリーを作成します。 

      # mkdir /home/some-ipa-user

    2. 新規ユーザーのホームディレクトリーの所有権をこの新しいユーザーに指定します。 

      # chown 935500010:936600001 /home/some-ipa-user

シングルサインオンを使用するように設定したユーザーのユーザー名とパスワードで、VM ユーザーポータルにログインして、仮想マシンのコンソールに接続すると自動的にログインされます。

4.2.2. Active Directory を使用した Red Hat Enterprise Linux 仮想マシンへのシングルサインオン (SSO) 設定

GNOME と KDE グラフィカルデスクトップ環境および Active Directory を使用して、Red Hat Enterprise Linux 仮想マシンのシングルサインオンを設定するには、仮想マシンに ovirt-guest-agent パッケージとウィンドウマネージャー関連のパッケージをインストールして、仮想マシンをドメインにアタッチする必要があります。

重要

以下の手順は、Active Directory の設定が正常に機能している状態で、かつ Active Directory ドメインが Manager にアタッチ済みであることを前提としています。また、NTP を使用して、Manager、仮想マシン、および Active Directory をホストするシステムのクロックを確実に同期させる必要があります。

Red Hat Enterprise Linux 仮想マシンへのシングルサインオン (SSO) 設定

  1. Red Hat Enterprise Linux 仮想マシンにログインします。

  2. Red Hat Virtualization Agent リポジトリーを有効にします。

    • Red Hat Enterprise Linux 6 の場合 

      # subscription-manager repos --enable=rhel-6-server-rhv-4-agent-rpms

    • Red Hat Enterprise Linux 7 の場合 

      # subscription-manager repos --enable=rhel-7-server-rh-common-rpms

  3. ゲストエージェントパッケージをダウンロードして、インストールします。 

    # yum install ovirt-guest-agent-common

  4. シングルサインオンパッケージをインストールします。 

    # yum install ovirt-guest-agent-gdm-plugin

  5. Samba クライアントパッケージをインストールします。 

    # yum install samba-client samba-winbind samba-winbind-clients

  6. 仮想マシンで /etc/samba/smb.conf ファイルを編集して以下の内容を追加します。DOMAIN は短いドメイン名に、REALM.LOCAL は Active Directory レルムに置き換えてください。 

    [global]
   workgroup = DOMAIN
   realm = REALM.LOCAL
   log level = 2
   syslog = 0
   server string = Linux File Server
   security = ads
   log file = /var/log/samba/%m
   max log size = 50
   printcap name = cups
   printing = cups
   winbind enum users = Yes
   winbind enum groups = Yes
   winbind use default domain = true
   winbind separator = +
   idmap uid = 1000000-2000000
   idmap gid = 1000000-2000000
template shell = /bin/bash

  7. 仮想マシンをドメインにアタッチします。 

    net ads join -U user_name

  8. winbind サービスを起動し、さらにこのサービスがブート時に起動されるようにします。

    • Red Hat Enterprise Linux 6 の場合 

      # service winbind start
# chkconfig winbind on

    • Red Hat Enterprise Linux 7 の場合 

      # systemctl start winbind.service
# systemctl enable winbind.service

  9. システムと Active Directory で通信がされていることを確認します。

    1. 信頼関係が作成されたことを確認します。 

      # wbinfo -t

    2. ユーザーを一覧表示できるかどうかを確認します。 

      # wbinfo -u

    3. グループを一覧表示できるかどうかを確認します。 

      # wbinfo -g

  10. NSS および PAM スタックを設定します。

    1. 認証の設定 ウィンドウを開きます。 

      # authconfig-tui
    2. Winbind を使用 のチェックボックスを選択して、 を選び Enter を押します。
    3. OK ボタンを選択して Enter を押します。

シングルサインオンを使用するように設定したユーザーのユーザー名とパスワードで、VM ユーザーポータルにログインして、仮想マシンのコンソールに接続すると自動的にログインされます。

4.2.3. Windows 仮想マシンへのシングルサインオン (SSO) 設定

Windows 仮想マシンのシングルサインオンを設定するには、Windows ゲストエージェントをゲスト仮想マシンにインストールする必要があります。このエージェントは、RHEV Guest Tools ISO ファイルに含まれています。RHEV-toolsSetup.iso のイメージが ISO ドメインにない場合は、システム管理者にお問い合わせください。

Windows 仮想マシンへのシングルサインオン (SSO) 設定

  1. Windows 仮想マシンを選択します。マシンの電源がオンになっていることを確認します。
  2. CD/DVD の変更 をクリックします。
  3. イメージの一覧から RHEV-toolsSetup.iso を選択します。
  4. OK をクリックします。
  5. コンソール をクリックして、仮想マシンにログインします。
  6. 仮想マシンの CD/DVD ドライブを探して、Guest Tools ISO ファイルのコンテンツにアクセスし、RHEV-ToolsSetup.exe を起動します。ツールがインストールされたら、変更を適用するためにマシンを再起動するようにプロンプトが表示されます。

シングルサインオンを使用するように設定したユーザーのユーザー名とパスワードで、VM ユーザーポータルにログインして、仮想マシンのコンソールに接続すると自動的にログインされます。

4.2.4. 仮想マシンのシングルサインオン (SSO) の無効化

以下の手順では、仮想マシンのシングルサインオンを無効にする方法を説明します。

仮想マシンのシングルサインオン (SSO) の無効化

  1. 仮想マシンを選択して、編集 をクリックします。
  2. コンソール タブをクリックします。
  3. シングルサインオンを無効にする のチェックボックスを選択します。
  4. OK をクリックします。