13.2. 디렉토리 사용자

13.2.1. Red Hat Enterprise Virtualization에서 디렉토리 서비스 지원

Red Hat Enterprise Virtualization Manager는 설치 시 자체 내부 관리자 admin을 생성합니다. 이 계정은 초기 환경 설정 및 문제 해결 시 사용하기 위한 계정입니다. Red Hat Enterprise Virtualization에 다른 사용자를 추가하려면 디렉토리 서버를 Manager에연결해야 합니다. Red Hat Enterprise Virtualization 3.5 이전에 구현된 디렉토리 서버의 경우 도메인 관리를 위해 engine-manage-domains 명령으로 도메인 관리 도구를 사용합니다. 보다 자세한 내용은 Red Hat Enterprise Virtualization 관리 가이드도메인 관리 도구에서 참조하십시오. Red Hat Enterprise Virtualization 3.5 이상 버전에서는 새로운 일반 LDAP 공급자 구현을 사용합니다. 보다 자세한 내용은 Red Hat Enterprise Virtualization 관리 가이드일반 LDAP 공급자 설정에서 참조하십시오.
최소 하나의 디렉토리 서버가 Manager에 연결되면 관리 포털에서 디렉토리 서버에 있는 사용자를 추가하고 역할을 지정할 수 있습니다. 사용자는 user@domain 형식의 UPN (User Principal Name)에 따라 구별됩니다. Manager에 하나 이상의 여러 디렉토리 서버를 연결하는 것도 지원됩니다.
Red Hat Enterprise Virtualization 3.6에서 지원되는 디렉토리 서버는 다음과 같습니다.
  • Active Directory
  • IdM (Identity Management)
  • RHDS 9 (Red Hat Directory Server 9)
  • OpenLDAP
디렉토리 서버에 올바른 DNS 레코드가 존재하는지 확인해야 합니다. 특히 디렉토리 서버의 DNS 레코드에서 다음과 같은 사항을 확인해야 합니다.
  • 디렉토리 서버의 역방향 검색 주소에 대한 유효한 포인터 레코드 (PTR)
  • TCP 포트 389를 통해 LDAP에 유효한 서비스 레코드 (SRV)
  • TCP 포트 88을 통해 Kerberos에 유효한 서비스 레코드 (SRV)
  • UDP 포트 88을 통해 Kerberos에 유효한 서비스 레코드 (SRV)
이러한 레코드가 DNS에 존재하지 않을 경우 engine-manage-domains를 사용하여 Red Hat Enterprise Virtualization Manager 설정에 도메인을 추가할 수 없습니다.
지원되는 디렉토리 서버 설치 및 설정에 대한 보다 자세한 내용은 다음 문서에서 참조하십시오:

중요

모든 사용자 및 그룹을 검색할 수 있는 권한을 갖는 사용자를 Red Hat Enterprise Virtualization 관리자로 디렉토리 서버에 생성해야 합니다. 디렉토리 서버 관리자를 Red Hat Enterprise Virtualization 관리자로 사용하지 않습니다.

중요

동일한 시스템에 Red Hat Enterprise Virtualization Manager (rhevm) 및 IdM (ipa-server)을 설치할 수 없습니다. IdM은 mod_ssl 패키지와 호환되지 않으며 Red Hat Enterprise Virtualization Manager가 필요합니다.

중요

디렉토리 서버로 Active Directory를 사용하고 있고 템플릿 및 가상 머신 생성에 sysprep을 사용하고자 할 경우 Red Hat Enterprise Virtualization 관리자에게 다음과 같은 도메인 제어 권한을 위임해야 합니다:
  • 컴퓨터를 도메인에 가입
  • 그룹 멤버쉽 수정
Active Directory에 사용자 계정 생성에 대한 보다 자세한 내용은 http://technet.microsoft.com/en-us/library/cc732336.aspx에서 확인하십시오.
Active Directory에서 관리 제어 권한 위임에 대한 보다 자세한 내용은 http://technet.microsoft.com/en-us/library/cc732524.aspx에서 참조하십시오.

참고

Red Hat Enterprise Virtualization Manager는 디렉토리 서버 인증에 Kerberos를 사용합니다. Red Hat Directory Server (RHDS)는 Kerberos를 기본적으로 지원하지 않습니다. 디렉토리 서버로 RHDS를 사용하고 있을 경우 디렉토리 서버가 유효한 Kerberos 도메인 내에서 서비스를 제공하는지 확인해야 합니다. 이를 실행하려면 해당 디렉토리 서버의 설명서를 참고하여 다음과 같은 절차를 수행합니다:
  • RHDSmemberOf 플러그인을 설정하여 그룹 멤버쉽을 허용합니다. 특히 memberOf 플러그인의 memberofgroupattr 속성 값을 uniqueMember로 설정합니다. OpenLDAP에서 memberOf 기능은 "플러그인"이라 하지 않습니다. 이는 "오버레이"라 하며 설치 후 다른 설정이 필요하지 않습니다.
    memberOf 플러그인 설정에 대한 보다 자세한 내용은 Red Hat Directory Server 9.0 플러그인 가이드에서 참조하십시오.
  • Kerberos 영역에서 ldap/hostname@REALMNAME 형식의 서비스로 디렉토리 서버를 지정합니다. hostname을 디렉토리 서버에 연결된 정규화된 도메인 이름으로 변경하고 REALMNAME을 정규화된 Kerberos 영역 이름으로 변경합니다. Kerberos 영역 이름은 대문자로 지정해야 합니다.
  • Kerberos 영역에 있는 디렉토리 서버의 keytab 파일을 생성합니다. keytab 파일에는 Kerberos 보안 주체 쌍과 암호화 관련 키가 들어 있습니다. 이러한 키를 통해 디렉토리 서버는 Kerberos 영역을 자체적으로 인증할 수 있습니다.
    keytab 파일 생성에 대한 보다 자세한 내용은 Kerberos 보안 주체에 대한 설명서를 참조하십시오.
  • 디렉토리 서버에 keytab 파일을 설치합니다. 그 후 keytab 파일을 인식하고 GSSAPI를 사용하여 Kerberos 인증을 허용하기 위해 RHDS를 설정합니다.
    외부 keytab 파일을 사용하기 위해 RHDS를 설정하는 방법에 대한 보다 자세한 내용은 Red Hat Directory Server 9.0 관리 가이드에서 참조하십시오.
  • Kerberos 영역에 지정된 사용자로 인증하기 위해 kinit 명령을 사용하여 디렉토리 서버 설정을 테스트합니다. 인증이 완료되면 디렉토리 서버에서 ldapsearch 명령을 실행합니다. -Y GSSAPI 매개 변수를 사용하여 인증을 위해 Kerberos를 사용합니다.

13.2.2. 일반 LDAP 공급자 설정

일반 LDAP 공급자는 사용자 인증 및 권한 설정을 위해 디렉토리 서비스를 설정할 수 있습니다. 새로운 공급자 구현은 LDAP 프로토콜을 사용하여 LDAP 서버에 액세스하고 완전히 사용자 정의 설정됩니다. 일반 LDAP 공급자를 설정하려면 인증 확장을 위한 설정 파일 및 지정된 확장에 대한 LDAP 설정 파일을 수정해야 합니다.

참고

관리 포털 및 사용자 포털로 단일 사용 승인을 위한 LDAP 및 Kerberos 설정 예는 13.2.3.1절. “단일 사용 승인 (SSO)을 위해 LDAP 및 Kerberos 설정”에서 참조하십시오.

절차 13.1. 일반 LDAP 공급자 설정

  1. Red Hat Enterprise Virtualization Manager에서 LDAP 확장 패키지를 설치합니다: 
    # yum install ovirt-engine-extension-aaa-ldap
  2. LDAP 설정 템플릿 파일을 /etc/ovirt-engine 디렉토리에 복사합니다. 템플릿 파일은 Active Directory (ad) 및 기타 다른 디렉토리 유형 (simple)에서 사용할 수 있습니다. 다음 예에서는 간단한 설정 템플릿을 사용합니다. 
    # cp -r /usr/share/ovirt-engine-extension-aaa-ldap/examples/simple/. /etc/ovirt-engine
  3. LDAP 서버 유형을 주석 해제하고 도메인 및 암호 필드를 업데이트하여 LDAP 속성 설정 파일을 편집합니다. 
    #  vi /etc/ovirt-engine/aaa/profile1.properties

    예 13.1. 프로파일 예: LDAP 서버 부분

    #
# Select one
#
include = <openldap.properties>
#include = <389ds.properties>
#include = <rhds.properties>
#include = <ipa.properties>
#include = <iplanet.properties>
#include = <rfc2307.properties>

#
# Server
#
vars.server = ldap1.company.com

#
# Search user and its password.
#
vars.user = uid=search,cn=users,cn=accounts,dc=company,dc=com
vars.password = 123456

pool.default.serverset.single.server = ${global:vars.server}
pool.default.auth.simple.bindDN = ${global:vars.user}
pool.default.auth.simple.password = ${global:vars.password}
    LDAP 서버와 통신하는 TLS 또는 SSL 프로토콜을 사용하려면 LDAP 서버의 root CA 인증서를 취득하고 이를 사용하여 공개 keystore 파일을 생성합니다. 다음 행을 주석 해제 처리하고 공개 keystore 파일로의 완전 경로 및 파일에 액세스하기 위한 암호를 지정합니다.

    참고

    공개 keystore 생성에 대한 보다 자세한 내용은 C.2절. “Manager 및 LDAP 서버 간의 SSL 또는 TLS 연결 설정”에서 참조하십시오.

    예 13.2. 프로파일 예: keystore 부분

    # Create keystore, import certificate chain and uncomment
# if using tls.
pool.default.ssl.startTLS = true
pool.default.ssl.truststore.file = /full/path/to/myrootca.jks
pool.default.ssl.truststore.password = changeit
  4. 인증 설정 파일을 확인합니다. 프로파일 이름은 관리 포털 및 사용자 포털 로그인 페이지에서 사용자가 볼 수 있습니다. 설정 프로파일 위치는 LDAP 설정 파일 위치와 일치해야 합니다. 모든 필드는 기본값으로 둘 수 있습니다. 
    # vi /etc/ovirt-engine/extensions.d/profile1-authn.properties

    예 13.3. 인증 설정 파일의 예

    ovirt.engine.extension.name = profile1-authn
ovirt.engine.extension.bindings.method = jbossmodule
ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.ldap
ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.ldap.AuthnExtension
ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Authn
ovirt.engine.aaa.authn.profile.name = profile1
ovirt.engine.aaa.authn.authz.plugin = profile1-authz
config.profile.file.1 = ../aaa/profile1.properties
  5. 인증 설정 파일을 확인합니다. 설정 프로파일 위치는 LDAP 설정 파일 위치와 일치해야 합니다. 모든 필드는 기본값으로 둘 수 있습니다. 
    # vi /etc/ovirt-engine/extensions.d/profile1-authz.properties

    예 13.4. 인증 설정 파일 예

    ovirt.engine.extension.name = profile1-authz
ovirt.engine.extension.bindings.method = jbossmodule
ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.ldap
ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.ldap.AuthzExtension
ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Authz
config.profile.file.1 = ../aaa/profile1.properties
  6. 설정 파일의 소유권 및 권한이 적절한지 확인합니다: 
    # chown ovirt:ovirt /etc/ovirt-engine/aaa/profile1.properties
    # chmod 600 /etc/ovirt-engine/aaa/profile1.properties
  7. engine 서비스를 다시 시작합니다. 
    # service ovirt-engine restart
  8. 생성한 ldap1 프로파일은 관리 포털 및 사용자 포털 로그인 페이지에서 사용할 수 있습니다. 사용자 포털에 로그인하는 것과 같이 LDAP 서버 권한으로 사용자 계정을 지정하기 위한 내용은 Red Hat Enterprise Virtualization Administration GuideRed Hat Enterprise Virtualization Manager 사용자 작업 부분에서 참조하십시오.

참고

보다 자세한 내용은 LDAP 인증 및 /usr/share/doc/ovirt-engine-extension-aaa-ldap-version에 있는 인증 확장 README 파일에서 참조하십시오.

13.2.3. 관리 포털 및 사용자 포털에 단일 사용 승인

Red Hat Enterprise Virtualization 3.5 및 그 이후 버전에서는 관리 포털 및 사용자 포털에 단일 사용 승인을 지원합니다. 이러한 기능이 활성화되어 있을 경우 사용자는 Kerberos와 같은 단일 사용 승인 방식 인증 정보를 사용하여 사용자 포털 및 관리 포털에 로그인할 수 있습니다. 어떤 단일 사용 승인 방식을 사용할 지를 설정하는 것은 관리자의 재량에 따라 다릅니다.
Kerberos를 사용하여 관리 포털 및 사용자 포털에 단일 사용 승인을 활성화하는 방법은 13.2.3.1절. “단일 사용 승인 (SSO)을 위해 LDAP 및 Kerberos 설정”에서 참조하십시오.

참고

사용자 포털에 단일 사용 승인이 활성화되어 있을 경우 가상 머신으로의 단일 사용 승인은 사용할 수 없게 됩니다. 사용자 포털로의 단일 사용 승인이 활성화되어 있으면 사용자 포털에서는 암호를 확인할 필요가 없기 때문에 암호는 가상 머신에 사용 승인하도록 위임될 수 없습니다.

13.2.3.1. 단일 사용 승인 (SSO)을 위해 LDAP 및 Kerberos 설정

예시에서는 다음을 전제로 합니다:
  • 기존 KDC (Key Distribution Center) 서버는 Kerberos 5의 MIT 버전을 사용합니다.
  • KDC 서버의 관리자 권한이 있어야 합니다.
  • Red Hat Enterprise Virtualization Manager 및 사용자 시스템에 Kerberos 클라이언트가 설치되어 있어야 합니다.
  • kadmin 유틸리티를 사용하여 Kerberos 서비스 사용자 및 keytab 파일을 생성합니다.
이는 다음과 같은 요소로 구성되어 있어야 합니다:

KDC 서버

  • Red Hat Enterprise Virtualization Manager에서 Apache 서비스의 keytab 파일 및 서비스 사용자를 생성합니다.

Red Hat Enterprise Virtualization Manager

  • Manager 인증 및 권한 부여 확장 패키지 및 Apache Kerberos 인증 모듈을 설치합니다.
  • 확장 파일을 설정합니다.

절차 13.2. Apache 서비스의 Kerberos 설정

  1. KDC 서버에서 kadmin 유틸리티를 사용하여 Red Hat Enterprise Virtualization Manager에서 Apache 서비스에 대한 서비스 사용자를 생성합니다. 서비스 사용자는 Apache 서비스에 대한 KDC의 참조 ID입니다. 
    # kadmin
kadmin> addprinc -randkey HTTP/fqdn-of-rhevm@REALM.COM
  2. Apache 서비스의 keytab 파일을 생성합니다. keytab 파일은 공유 비밀 키를 저장합니다. 
    kadmin> ktadd -k /tmp/http.keytab HTTP/fqdn-of-rhevm@REALM.COM
    kadmin> quit
  3. KDC 서버에서 Red Hat Enterprise Virtualization Manager로 keytab 파일을 복사합니다: 
    # scp /tmp/http.keytab root@rhevm.example.com:/etc/httpd

절차 13.3. 사용자 포털 또는 관리 포털에 단일 사용 승인 (SSO) 설정

  1. Red Hat Enterprise Virtualization Manager에서 keytab의 소유권 및 권한이 적절한지 확인합니다: 
    # chown apache /etc/httpd/http.keytab
    # chmod 400 /etc/httpd/http.keytab
  2. 인증 확장 패키지, LDAP 확장 패키지, mod_auth_kerb 인증 모듈을 설치합니다: 
    # yum install ovirt-engine-extension-aaa-misc ovirt-engine-extension-aaa-ldap mod_auth_kerb
  3. SSO 설정 템플릿 파일을 /etc/ovirt-engine 디렉토리에 복사합니다. 템플릿 파일은 Active Directory (ad-sso) 및 기타 다른 디렉토리 유형 (simple-sso)에서 사용할 수 있습니다. 다음 예에서는 간단한 SSO 설정 템플릿을 사용합니다. 
    # cp -r /usr/share/ovirt-engine-extension-aaa-ldap/examples/simple-sso/. /etc/ovirt-engine
  4. SSO 설정 파일을 사용하기 위해 Apache의 /etc/httpd/conf.d 디렉토리에 대한 심볼릭 링크를 생성합니다: 
    # ln -s /etc/ovirt-engine/aaa/ovirt-sso.conf /etc/httpd/conf.d
  5. Kerberos 인증을 사용하기 위해 Apache의 인증 방식 파일을 편집합니다: 
    # vi /etc/ovirt-engine/aaa/ovirt-sso.conf

    예 13.5. 인증 방식 파일의 예

    <LocationMatch ^(/ovirt-engine/(webadmin|userportal|api)|/api)>
    RewriteEngine on
    RewriteCond %{LA-U:REMOTE_USER} ^(.*)$
    RewriteRule ^(.*)$ - [L,P,E=REMOTE_USER:%1]
    RequestHeader set X-Remote-User %{REMOTE_USER}s

    AuthType Kerberos
    AuthName "Kerberos Login"
    Krb5Keytab /etc/httpd/http.keytab
    KrbAuthRealms REALM.COM
    Require valid-user
</LocationMatch>
  6. LDAP 서버 유형을 주석 해제하고 도메인 및 암호 필드를 업데이트하여 LDAP 속성 설정 파일을 편집합니다: 
    #  vi /etc/ovirt-engine/aaa/profile1.properties

    예 13.6. 프로파일 예: LDAP 서버 부분

    #
# Select one
#
include = <openldap.properties>
#include = <389ds.properties>
#include = <rhds.properties>
#include = <ipa.properties>
#include = <iplanet.properties>
#include = <rfc2307.properties>

#
# Server
#
vars.server = ldap1.company.com

#
# Search user and its password.
#
vars.user = uid=search,cn=users,cn=accounts,dc=company,dc=com
vars.password = 123456

pool.default.serverset.single.server = ${global:vars.server}
pool.default.auth.simple.bindDN = ${global:vars.user}
pool.default.auth.simple.password = ${global:vars.password}
    LDAP 서버와 통신하는 TLS 또는 SSL 프로토콜을 사용하려면 LDAP 서버의 root CA 인증서를 취득하고 이를 사용하여 공개 keystore 파일을 생성합니다. 다음 행을 주석 해제 처리하고 공개 keystore 파일로의 완전 경로 및 파일에 액세스하기 위한 암호를 지정합니다.

    참고

    공개 keystore 생성에 대한 보다 자세한 내용은 C.2절. “Manager 및 LDAP 서버 간의 SSL 또는 TLS 연결 설정”에서 참조하십시오.

    예 13.7. 프로파일 예: keystore 부분

    # Create keystore, import certificate chain and uncomment
# if using ssl/tls.
pool.default.ssl.startTLS = true
pool.default.ssl.truststore.file = /full/path/to/myrootca.jks
pool.default.ssl.truststore.password = changeit
  7. 인증 설정 파일을 확인합니다. 프로파일 이름은 관리 포털 및 사용자 포털 로그인 페이지에서 사용자가 볼 수 있습니다. 설정 프로파일 위치는 LDAP 설정 파일 위치와 일치해야 합니다. 모든 필드는 기본값으로 둘 수 있습니다. 
    # vi /etc/ovirt-engine/extensions.d/profile1-http-authn.properties

    예 13.8. 인증 설정 파일의 예

    ovirt.engine.extension.name = profile1-authn
ovirt.engine.extension.bindings.method = jbossmodule
ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.ldap
ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.ldap.AuthnExtension
ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Authn
ovirt.engine.aaa.authn.profile.name = profile1-http
ovirt.engine.aaa.authn.authz.plugin = profile1-authz
ovirt.engine.aaa.authn.mapping.plugin = http-mapping
config.artifact.name = HEADER
config.artifact.arg = X-Remote-User
  8. 인증 설정 파일을 확인합니다. 설정 프로파일 위치는 LDAP 설정 파일 위치와 일치해야 합니다. 모든 필드는 기본값으로 둘 수 있습니다. 
    #  vi /etc/ovirt-engine/extensions.d/profile1-authz.properties

    예 13.9. 인증 설정 파일 예

    ovirt.engine.extension.name = profile1-authz
ovirt.engine.extension.bindings.method = jbossmodule
ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.ldap
ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.ldap.AuthzExtension
ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Authz
config.profile.file.1 = ../aaa/profile1.properties
  9. 설정 파일의 소유권 및 권한이 적절한지 확인합니다: 
    # chown ovirt:ovirt /etc/ovirt-engine/aaa/profile1.properties
    # chmod 600 /etc/ovirt-engine/aaa/profile1.properties
  10. Apache 서비스 및 engine 서비스를 다시 시작합니다: 
    # service httpd restart
    # service ovirt-engine restart