4.2. 仮想マシンへのシングルサインオン (SSO) 設定
シングルサインオン (認証委任とも呼ばれる) を設定すると、VM ユーザーポータルへのログインで使用した認証情報で仮想マシンに自動的にログインできます。シングルサインオンは、Red Hat Enterprise Linux 仮想マシンおよび Windows 仮想マシンの両方で使用できます。
VM ユーザーポータルへのシングルサインオンが有効になっている場合は、仮想マシンへのシングルサインオンは使用できません。VM ユーザーポータルへのシングルサインオンが有効な状態では、VM ユーザーポータルによるパスワードの確認が必要ないため、このパスワードが渡されず、仮想マシンにサインインできません。
4.2.1. IPA (IdM) を使用した Red Hat Enterprise Linux 仮想マシンへのシングルサインオン (SSO) 設定
GNOME と KDE グラフィカルデスクトップ環境および IPA (IdM) サーバーを使用して、Red Hat Enterprise Linux 仮想マシンのシングルサインオンを設定するには、仮想マシンに ovirt-guest-agent
パッケージと、ウィンドウマネージャー関連のパッケージをインストールする必要があります。
以下の手順は、IPA の設定が正常に機能している状態で、かつ IPA ドメインが Manager にアタッチ済みであることを前提としています。また、NTP を使用して、Manager、仮想マシン、および IPA (IdM) をホストするシステムのクロックを確実に同期させる必要があります。
Red Hat Enterprise Linux 仮想マシンへのシングルサインオン (SSO) 設定
- Red Hat Enterprise Linux 仮想マシンにログインします。
必要なリポジトリーを有効にします。
Red Hat Enterprise Linux 6 の場合
# subscription-manager repos --enable=rhel-6-server-rhv-4-agent-rpms
Red Hat Enterprise Linux 7 の場合
# subscription-manager repos --enable=rhel-7-server-rh-common-rpms
ゲストエージェントパッケージをダウンロードして、インストールします。
# yum install ovirt-guest-agent-common
シングルサインオンパッケージをインストールします。
# yum install ovirt-guest-agent-pam-module # yum install ovirt-guest-agent-gdm-plugin
IPA パッケージをインストールします。
# yum install ipa-client
以下のコマンドを実行し、プロンプトに従って
ipa-client
を設定し、仮想マシンをドメインにアタッチします。# ipa-client-install --permit --mkhomedir
注記DNS 難読化を使用する環境では、このコマンドは以下のようになります。
# ipa-client-install --domain=FQDN --server==FQDN
Red Hat Enterprise Linux 7.2 以降では、以下のコマンドを実行します。
# authconfig --enablenis --update
注記Red Hat Enterprise Linux 7.2 では、System Security Services Daemon (SSSD) の新しいバージョンが導入されましたが、その設定は、Red Hat Virtualization Manager のゲストエージェントのシングルサインオン実装との互換性がありません。上記のコマンドを実行することで、シングルサインオンが確実に機能するようになります。
IPA ユーザーの詳細を取得します。
# getent passwd IPA_user_name
これに対し、以下のような出力が返されます。
some-ipa-user:*:936600010:936600001::/home/some-ipa-user:/bin/sh
次のステップで、some-ipa-user のホームディレクトリーを作成する際にこの情報が必要になります。
IPA ユーザーのホームディレクトリーを設定します。
新規ユーザーのホームディレクトリーを作成します。
# mkdir /home/some-ipa-user
新規ユーザーのホームディレクトリーの所有権をこの新しいユーザーに指定します。
# chown 935500010:936600001 /home/some-ipa-user
シングルサインオンを使用するように設定したユーザーのユーザー名とパスワードで、VM ユーザーポータルにログインして、仮想マシンのコンソールに接続すると自動的にログインされます。
4.2.2. Active Directory を使用した Red Hat Enterprise Linux 仮想マシンへのシングルサインオン (SSO) 設定
GNOME と KDE グラフィカルデスクトップ環境および Active Directory を使用して、Red Hat Enterprise Linux 仮想マシンのシングルサインオンを設定するには、仮想マシンに ovirt-guest-agent
パッケージとウィンドウマネージャー関連のパッケージをインストールして、仮想マシンをドメインにアタッチする必要があります。
以下の手順は、Active Directory の設定が正常に機能している状態で、かつ Active Directory ドメインが Manager にアタッチ済みであることを前提としています。また、NTP を使用して、Manager、仮想マシン、および Active Directory をホストするシステムのクロックを確実に同期させる必要があります。
Red Hat Enterprise Linux 仮想マシンへのシングルサインオン (SSO) 設定
- Red Hat Enterprise Linux 仮想マシンにログインします。
Red Hat Virtualization Agent リポジトリーを有効にします。
Red Hat Enterprise Linux 6 の場合
# subscription-manager repos --enable=rhel-6-server-rhv-4-agent-rpms
Red Hat Enterprise Linux 7 の場合
# subscription-manager repos --enable=rhel-7-server-rh-common-rpms
ゲストエージェントパッケージをダウンロードして、インストールします。
# yum install ovirt-guest-agent-common
シングルサインオンパッケージをインストールします。
# yum install ovirt-guest-agent-gdm-plugin
Samba クライアントパッケージをインストールします。
# yum install samba-client samba-winbind samba-winbind-clients
仮想マシンで /etc/samba/smb.conf ファイルを編集して以下の内容を追加します。
DOMAIN
は短いドメイン名に、REALM.LOCAL
は Active Directory レルムに置き換えてください。[global] workgroup = DOMAIN realm = REALM.LOCAL log level = 2 syslog = 0 server string = Linux File Server security = ads log file = /var/log/samba/%m max log size = 50 printcap name = cups printing = cups winbind enum users = Yes winbind enum groups = Yes winbind use default domain = true winbind separator = + idmap uid = 1000000-2000000 idmap gid = 1000000-2000000 template shell = /bin/bash
仮想マシンをドメインにアタッチします。
net ads join -U user_name
winbind
サービスを起動し、さらにこのサービスがブート時に起動されるようにします。Red Hat Enterprise Linux 6 の場合
# service winbind start # chkconfig winbind on
Red Hat Enterprise Linux 7 の場合
# systemctl start winbind.service # systemctl enable winbind.service
システムと Active Directory で通信がされていることを確認します。
信頼関係が作成されたことを確認します。
# wbinfo -t
ユーザーを一覧表示できるかどうかを確認します。
# wbinfo -u
グループを一覧表示できるかどうかを確認します。
# wbinfo -g
NSS および PAM スタックを設定します。
認証の設定 ウィンドウを開きます。
# authconfig-tui
-
Winbind を使用 のチェックボックスを選択して、 を選び
Enter
を押します。 -
Enter
を押します。 ボタンを選択して
シングルサインオンを使用するように設定したユーザーのユーザー名とパスワードで、VM ユーザーポータルにログインして、仮想マシンのコンソールに接続すると自動的にログインされます。
4.2.3. Windows 仮想マシンへのシングルサインオン (SSO) 設定
Windows 仮想マシンのシングルサインオンを設定するには、Windows ゲストエージェントをゲスト仮想マシンにインストールする必要があります。このエージェントは、RHEV Guest Tools
ISO ファイルに含まれています。RHEV-toolsSetup.iso
のイメージが ISO ドメインにない場合は、システム管理者にお問い合わせください。
Windows 仮想マシンへのシングルサインオン (SSO) 設定
- Windows 仮想マシンを選択します。マシンの電源がオンになっていることを確認します。
- CD/DVD の変更 をクリックします。
-
イメージの一覧から
RHEV-toolsSetup.iso
を選択します。 - をクリックします。
- をクリックして、仮想マシンにログインします。
-
仮想マシンの CD/DVD ドライブを探して、Guest Tools ISO ファイルのコンテンツにアクセスし、
RHEV-ToolsSetup.exe
を起動します。ツールがインストールされたら、変更を適用するためにマシンを再起動するようにプロンプトが表示されます。
シングルサインオンを使用するように設定したユーザーのユーザー名とパスワードで、VM ユーザーポータルにログインして、仮想マシンのコンソールに接続すると自動的にログインされます。
4.2.4. 仮想マシンのシングルサインオン (SSO) の無効化
以下の手順では、仮想マシンのシングルサインオンを無効にする方法を説明します。
仮想マシンのシングルサインオン (SSO) の無効化
- 仮想マシンを選択して、 をクリックします。
- コンソール タブをクリックします。
- シングルサインオンを無効にする のチェックボックスを選択します。
- をクリックします。