C.2. Manager 및 LDAP 서버 간의 SSL 또는 TLS 연결 설정

Red Hat Enterpriser Virtualization Manager와 LDAP 서버 간의 보안 연결을 설정하려면 서버의 root CA 인증서가 필요합니다. 인증서를 Manager로 가져와서 정보를 저장하기 위한 공개 키 스토어 파일을 생성합니다. 다음 절차에서는 JKS (Java KeyStore) 형식을 사용합니다. 키 스토어 유형은 모든 Java 지원 형식을 사용할 수 있습니다.

참고

키 스토어 파일을 생성하고 인증서를 가져오는 방법에 대한 보다 자세한 내용은 /usr/share/doc/ovirt-engine-extension-aaa-ldap-version에서 README 파일의 X.509 CERTIFICATE TRUST STORE 섹션에서 참조하십시오.
LDAP 서버의 root CA 인증서를 취득하여 Manager의 /tmp 디렉토리에 복사한 후 다음 절차에 따라 Manager에 공개 키 스토어 파일을 생성합니다. LDAP 속성 설정 파일을 공개 키스토어 파일 정보를 사용하여 업데이트합니다.

절차 C.2. 키 스토어 파일 만들기

  1. Red Hat Enterprise Virtualization Manager에서 인증서를 가져온 후 공개 키스토어 파일을 생성합니다. 다음 명령을 사용하여 /tmp/myrootca.pem에 root CA 인증서를 가져온 후 /etc/ovirt-engine/aaa/ 아래에 공개 키스토어 파일 myrootca.jks를 생성합니다. 
    $ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass changeit
  2. 키스토어 파일 정보로 /etc/ovirt-engine/aaa/profile1.properties 파일을 업데이트합니다.

    참고

    ${local:_basedir}는 LDAP 속성 설정 파일이 있는 디렉토리에서 /etc/ovirt-engine/aaa 디렉토리를 가리킵니다. 다른 디렉토리에 공개 키스토어 파일을 생성할 경우 ${local:_basedir}를 공개 키스토어 파일의 전체 경로로 변경합니다.
    • startTLS를 사용하려면 다음을 실행합니다 (권장사항): 
      # Create keystore, import certificate chain and uncomment
pool.default.ssl.startTLS = true
pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
pool.default.ssl.truststore.password = changeit
    • SSL을 사용하려면 다음을 실행합니다: 
      # Create keystore, import certificate chain and uncomment
pool.default.serverset.single.port = 636
pool.default.ssl.enable = true
pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
pool.default.ssl.truststore.password = changeit
일반 LDAP 공급자를 설정에 대한 정보는 13.2.2절. “일반 LDAP 공급자 설정”에서 참조하십시오. 단일 사용 승인 (SSO)을 위한 LDAP 및 Kerberos 설정에 대한 자세한 내용은 13.2.3.1절. “단일 사용 승인 (SSO)을 위해 LDAP 및 Kerberos 설정”에서 참조하십시오.