19.3. 外部 LDAP プロバイダーの設定

19.3.1. 外部 LDAP プロバイダーの設定 (対話型セットアップ)

ovirt-engine-extension-aaa-ldap 拡張機能を使用すると、ユーザーは外部ディレクトリーの設定を簡単にカスタマイズできます。ovirt-engine-extension-aaa-ldap 拡張機能は多くの異なる LDAP サーバータイプをサポートし、ほとんどの LDAP タイプのセットアップを支援するインタラクティブなセットアップスクリプトが提供されています。

LDAP サーバーの種類が対話型セットアップスクリプトにリストされていない場合、またはさらにカスタマイズしたい場合は、設定ファイルを手動で編集できます。詳細は、「外部 LDAP プロバイダーの設定 (手動による方法)」 を参照してください。

Active Directory の例は、「Active Directory の接続」 を参照してください。

前提条件:

  • DNS または LDAP サーバーのドメイン名を知っている必要があります。
  • LDAP サーバーとマネージャーの間に安全な接続を設定するには、PEM でエンコードされた CA 証明書が準備されていることを確認してください。
  • LDAP サーバーへの検索およびログインクエリーを実行するために、少なくとも 1 セットのアカウント名とパスワードを用意します。

外部 LDAP プロバイダーの設定

  1. Red Hat Virtualization Manager で、LDAP 拡張パッケージをインストールします。

    # yum install ovirt-engine-extension-aaa-ldap-setup
  2. ovirt-engine-extension-aaa-ldap-setup を実行して、対話型セットアップを開始します。

    # ovirt-engine-extension-aaa-ldap-setup
  3. 対応する番号を入力して、LDAP タイプを選択します。LDAP サーバーがどのスキーマであるかわからない場合は、LDAP サーバータイプの標準スキーマを選択してください。Active Directory の場合は、「Active Directory の接続」 の手順に従います。

    Available LDAP implementations:
     1 - 389ds
     2 - 389ds RFC-2307 Schema
     3 - Active Directory
     4 - IBM Security Directory Server
     5 - IBM Security Directory Server RFC-2307 Schema
     6 - IPA
     7 - Novell eDirectory RFC-2307 Schema
     8 - OpenLDAP RFC-2307 Schema
     9 - OpenLDAP Standard Schema
    10 - Oracle Unified Directory RFC-2307 Schema
    11 - RFC-2307 Schema (Generic)
    12 - RHDS
    13 - RHDS RFC-2307 Schema
    14 - iPlanet
    Please select:
  4. Enter を押してデフォルトを受け入れ、LDAP サーバー名のドメイン名解決を設定します。

    It is highly recommended to use DNS resolution for LDAP server.
    If for some reason you intend to use hosts or plain address disable DNS usage.
    Use DNS (Yes, No) [Yes]:
  5. DNS ポリシー方式を選択します。

    • オプション 1 の場合、/etc/resolv.conf にリストされている DNS サーバーを使用して IP アドレスを解決します。/etc/resolv.conf ファイルが正しい DNS サーバーで更新されていることを確認します。
    • オプション 2 には、完全修飾ドメイン名 (FQDN) または LDAP サーバーの IP アドレスを入力します。SRV レコードで dig コマンドを使用して、ドメイン名を見つけることができます。SRV レコードは次の形式を取ります。

      _service._protocol.domain_name

      例: dig _ldap._tcp.redhat.com SRV

    • オプション 3 には、LDAP サーバーのスペース区切りのリストを入力します。サーバーの FQDN または IP アドレスのいずれかを使用します。このポリシーは、LDAP サーバー間の負荷分散を提供します。クエリーは、ラウンドロビンアルゴリズムに従ってすべての LDAP サーバーに分散されます。
    • オプション 4 には、スペースで区切られた LDAP サーバーのリストを入力します。サーバーの FQDN または IP アドレスのいずれかを使用します。このポリシーは、クエリーに応答するデフォルトの LDAP サーバーとなる最初の LDAP サーバーを定義します。最初のサーバーが使用できない場合、クエリーはリストの次の LDAP サーバーに移動します。

      1 - Single server
      2 - DNS domain LDAP SRV record
      3 - Round-robin between multiple hosts
      4 - Failover between multiple hosts
      Please select:
  6. LDAP サーバーがサポートする安全な接続方法を選択し、PEM でエンコードされた CA 証明書を取得する方法を指定します。

    • File を使用すると、証明書へのフルパスを指定できます。
    • URL を使用すると、証明書の URL を指定できます。
    • Inline を使用すると、証明書の内容をターミナルに貼り付けることができます。
    • System では、すべての CA ファイルのデフォルトの場所を指定できます。
    • Insecure は証明書の検証をスキップしますが、接続は引き続き TLS を使用して暗号化されます。

      NOTE:
      It is highly recommended to use secure protocol to access the LDAP server.
      Protocol startTLS is the standard recommended method to do so.
      Only in cases in which the startTLS is not supported, fallback to non standard ldaps protocol.
      Use plain for test environments only.
      Please select protocol to use (startTLS, ldaps, plain) [startTLS]: startTLS
      Please select method to obtain PEM encoded CA certificate (File, URL, Inline, System, Insecure):
      Please enter the password:
      注記

      LDAPS は、セキュアソケットリンクを介したライトウェイトディレクトリーアクセスプロトコルの略です。SSL 接続の場合は、ldaps オプションを選択します。

  7. 検索ユーザーの識別名 (DN) を入力します。ユーザーには、Directory Server 上のすべてのユーザーとグループを参照するためのアクセス許可が必要です。検索ユーザーは、LDAP アノテーションで指定する必要があります。匿名検索が許可されている場合は、入力せずに Enter を押します。

    Enter search user DN (for example uid=username,dc=example,dc=com or leave empty for anonymous): uid=user1,ou=Users,ou=department-1,dc=example,dc=com
    Enter search user password:
  8. ベース DN を入力します。

    Please enter base DN (dc=redhat,dc=com) [dc=redhat,dc=com]: ou=department-1,dc=redhat,dc=com
  9. 仮想マシン用に Single Sign-On を設定する場合は、Yes を選択します。この機能は、管理ポータル機能に対する Single Sign-On では使用できないことに注意してください。スクリプトは、プロファイル名がドメイン名と一致する必要があることを通知します。仮想マシン管理ガイド仮想マシン用の Single Sign-On の設定 の手順に従う必要があります。

    Are you going to use Single Sign-On for Virtual Machines (Yes, No) [Yes]:
  10. プロファイル名を指定します。プロファイル名は、ログインページでユーザーに表示されます。この例では、redhat.com を使用しています。

    注記

    ドメインの設定後にプロファイルの名前を変更するには、/etc/ovirt-engine/extensions.d/redhat.com-authn.properties ファイルの ovirt.engine.aaa.authn.profile.name 属性を編集します。変更を反映するには、ovirt-engine サービスを再起動します。

    Please specify profile name that will be visible to users: redhat.com

    図19.1 管理ポータルのログインページ

    AAA ログインプロファイル
    注記

    ユーザーは、初めてログインするときにドロップダウンリストからプロファイルを選択する必要があります。情報はブラウザーの Cookie に保存され、ユーザーが次にログインしたときに事前に選択されます。

  11. ログイン機能をテストして、LDAP サーバーが Red Hat Virtualization 環境に正しく接続されていることを確認します。ログインクエリーには、user name および password を入力します。

    NOTE:
    It is highly recommended to test drive the configuration before applying it into engine.
    Login sequence is executed automatically, but it is recommended to also execute Search sequence manually after successful Login sequence.
    
    Please provide credentials to test login flow:
    Enter user name:
    Enter user password:
    [ INFO  ] Executing login sequence...
    ...
    [ INFO  ] Login sequence executed successfully
  12. ユーザーの詳細が正しいことを確認してください。ユーザーの詳細が正しくない場合は、Abort を選択します。

    Please make sure that user details are correct and group membership meets expectations (search for PrincipalRecord and GroupRecord titles).
    Abort if output is incorrect.
    Select test sequence to execute (Done, Abort, Login, Search) [Abort]:
  13. 検索機能を手動でテストすることが推奨されます。検索クエリーで、ユーザーアカウントの場合は Principal、グループアカウントの場合は Group を選択します。ユーザーアカウントのグループアカウント情報を返す場合は、Resolve GroupsYes を選択します。3 つの設定ファイルが作成され、画面出力に表示されます。

    Select test sequence to execute (Done, Abort, Login, Search) [Search]: Search
    Select entity to search (Principal, Group) [Principal]:
    Term to search, trailing '*' is allowed: testuser1
    Resolve Groups (Yes, No) [No]:
  14. Done を選択してセットアップを完了します。

    Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Done
    [ INFO  ] Stage: Transaction setup
    [ INFO  ] Stage: Misc configuration
    [ INFO  ] Stage: Package installation
    [ INFO  ] Stage: Misc configuration
    [ INFO  ] Stage: Transaction commit
    [ INFO  ] Stage: Closing up
    CONFIGURATION SUMMARY
    Profile name is: redhat.com
    The following files were created:
        /etc/ovirt-engine/aaa/redhat.com.properties
        /etc/ovirt-engine/extensions.d/redhat.com.properties
        /etc/ovirt-engine/extensions.d/redhat.com-authn.properties
    [ INFO  ] Stage: Clean up
    Log file is available at /tmp/ovirt-engine-extension-aaa-ldap-setup-20171004101225-mmneib.log:
    [ INFO  ] Stage: Pre-termination
    [ INFO  ] Stage: Termination
  15. ovirt-engine サービスを再起動します。作成したプロファイルは、管理ポータルおよび仮想マシンポータルのログインページで利用できるようになります。LDAP サーバー上のユーザーアカウントに適切なロールとパーミッションを割り当て、たとえば、VM ポータルにログインするには、「管理ポータルからのユーザータスクの管理」 を参照してください。

    # systemctl restart ovirt-engine.service
注記

詳細は、/usr/share/doc/ovirt-engine-extension-aaa-ldap-version の LDAP 認証および承認拡張 README ファイルを参照してください。