E.3. FIPS の暗号化された VNC コンソールの有効化

手順

1. 管理ポータルで、Compute → Clusters をクリックします。
2. VNC 暗号化を有効にする予定のクラスターを選択し、Edit をクリックします。Edit Cluster ウィンドウが開きます。
3. Console タブを選択します。
4. Enable VNC Encryption チェックボックスを選択し、OK をクリックします。

手順

1. 管理ポータルで、FIPS 対応のホストをメンテナンスモードにします。

   1. Compute → Hosts をクリックします。

   2. Virtual Machines 列で、各ホストの仮想マシンがゼロであることを確認します。

      必要に応じて、ライブマイグレーションを実行してホストから仮想マシンを削除します。ホスト間での仮想マシンの移行 を参照してください。

   3. 各ホストを選択し、Management → Maintenance および OK をクリックします。

2. Manager が実行されているマシンのコマンドラインに接続します。

   • スタンドアロン Manager の場合:

     # ssh root@rhvm

   • セルフホスト型エンジンの場合: Compute → Virtual Machines の順にクリックし、デフォルトの名前が HostedEngine のセルフホスト型エンジンの仮想マシンを選択して、Console をクリックします。

3. ホストごとに VNC SASL Ansible Playbook を実行します。

   # cd /usr/share/ovirt-engine/ansible-runner-service-project/project/
   # ansible-playbook --ask-pass --inventory=<hostname> ovirt-vnc-sasl.yml <1>

   Compute → Hosts に表示される ホスト名 を指定します。

4. ホストを選択し、Installation → Reinstall をクリックします。
5. 再インストールしたら、ホストを選択し、Management → Restart をクリックします。
6. 再起動したら、ホストを選択し、Management → Activate をクリックします。

手順

1. https://<engine_address>/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA に移動します。
2. すべての信頼設定を有効にします。

3. VNC コンソールを実行する予定のクライアントマシンで、証明書ファイルのディレクトリーを作成します。

   $ mkdir ~/.pki/CA

   警告

   この手順で mkdir: cannot create directory ‘/home/example_user/.pki/CA': File exists などのエラーを生成する場合は、次の手順で ~/.pki/CA/cacert.pem が上書きされないように予防措置を取ります。たとえば、ファイル名に現在の日付を含めます。

4. 証明書をダウンロードします。

   $ curl -k -o ~/.pki/CA/cacert-<today’s date>.pem '\https://<engine_address>/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'

5. ブラウザーに認証局をインストールします。

   • Firefox
   • Internet Explorer
   • Google Chrome

6. クライアントマシンに SASL SCRAM ライブラリーをインストールします。

   $ sudo dnf install cyrus-sasl-scram

検証手順

1. 作成した FIPS 対応のホストのいずれかで仮想マシンを実行します。
2. VNC コンソールを使用して仮想マシンに接続します。