10.5.25. レガシー SPICE 暗号の設定

SPICE コンソールでは、デフォルトで FIPS 準拠の暗号化を行い、暗号文字列を使用します。デフォルトの SPICE 暗号文字列は kECDHE+FIPS:kDHE+FIPS:kRSA+FIPS:!eNULL:!aNULL です。

通常、この文字列で十分です。ただし、古いオペレーティングシステムまたは SPICE クライアントの仮想マシンがあり、そのうちのいずれかが FIPS 準拠の暗号化に対応していない場合は、弱い暗号文字列を使用する必要があります。そうしないと、新規クラスターまたは新規ホストを既存のクラスターにインストールし、その仮想マシンへの接続を試みると、接続のセキュリティーエラーが発生します。

Ansible Playbook を使用して暗号文字列を変更できます。

暗号文字列の変更

  1. Manager マシンで、/usr/share/ovirt-engine/playbooks ディレクトリーにファイルを作成します。以下に例を示します。

    # vim /usr/share/ovirt-engine/playbooks/change-spice-cipher.yml
  2. ファイルに以下を入力し、保存します。

    name: oVirt - setup weaker SPICE encryption for old clients
    hosts: hostname
    vars:
      host_deploy_spice_cipher_string: 'DEFAULT:-RC4:-3DES:-DES'
    roles:
      - ovirt-host-deploy-spice-encryption
  3. 作成したファイルを実行します。

    # ansible-playbook -l hostname /usr/share/ovirt-engine/playbooks/change-spice-cipher.yml

または、以下のように変数 host_deploy_spice_cipher_string--extra-vars オプションを指定して、Ansible Playbook ovirt-host-deploy でホストを再設定できます。

# ansible-playbook -l hostname \
  --extra-vars host_deploy_spice_cipher_string=”DEFAULT:-RC4:-3DES:-DES” \
  /usr/share/ovirt-engine/playbooks/ovirt-host-deploy.yml