Red Hat Training
A Red Hat training course is available for Red Hat Virtualization
15.3. 외부 LDAP 공급자 설정
15.3.1. 외부 LDAP 공급자 설정 (대화형 설정)
ovirt-engine-extension-aaa-ldap 확장자를 사용하여 사용자 지정 외부 디렉토리를 쉽게 설정합니다. ovirt-engine-extension-aaa-ldap 확장자는 여러 다른 LDAP 서버 유형을 지원하며 사용자에게 제공되는 대화형 (interactive) 설정 스크립트를 사용하여 대부분의 LDAP 유형을 설정할 수 있습니다.
LDAP 서버 유형이 대화형 설정 스크립트 목록에 없거나 보다 많은 사용자 정의 설정을 원하는 경우 설정 파일을 수동으로 편집할 수 있습니다. 보다 자세한 내용은 15.3.3절. “외부 LDAP 공급자 설정 (수동 설정)”에서 참조하십시오.
Active Directory의 예는 15.3.2절. “Active Directory 연결”에서 참조하십시오.
전제 조건:
- DNS 또는 LDAP 서버의 도메인 이름을 알아야 합니다. Round-robin 및 장애 조치 failover 정책이 지원됩니다.
- LDAP 서버와 Manager 간의 보안 연결을 설정하려면 PEM 인코딩된 CA 인증서가 준비되었는지 확인합니다.
- LDAP 서버에 검색 및 로그인 쿼리를 수행할 수 있는 계정 이름과 암호를 최소한 하나 준비해 놓습니다.
절차 15.1. 외부 LDAP 공급자 설정
- Red Hat Virtualization Manager에서 LDAP 확장 패키지를 설치합니다:
# yum install ovirt-engine-extension-aaa-ldap-setup
ovirt-engine-extension-aaa-ldap-setup명령을 실행해서 대화형 설정을 시작합니다:# ovirt-engine-extension-aaa-ldap-setup
- 해당하는 번호를 입력해서 LDAP 유형을 선택합니다. 사용자의 LDAP 서버의 스키마가 확실하지 않다면 사용자 LDAP 서버 유형의 표준 스키마를 선택합니다. Active Directory의 경우 15.3.2절. “Active Directory 연결”의 절차를 사용합니다.
Available LDAP implementations: 1 - 389ds 2 - 389ds RFC-2307 Schema 3 - Active Directory 4 - IPA 5 - Novell eDirectory RFC-2307 Schema 6 - OpenLDAP RFC-2307 Schema 7 - OpenLDAP Standard Schema 8 - Oracle Unified Directory RFC-2307 Schema 9 - RFC-2307 Schema (Generic) 10 - RHDS 11 - RHDS RFC-2307 Schema 12 - iPlanet Please select: 10
- Enter를 눌러서 기본값을 수락하고 LDAP 서버 이름의 도메인 이름 확인을 설정합니다:
It is highly recommended to use DNS resolution for LDAP server. If for some reason you intend to use hosts or plain address disable DNS usage. Use DNS (Yes, No) [Yes]:
- 해당하는 번호를 입력해서 DNS 정책 방식을 선택합니다:
1 - Single server 2 - DNS domain LDAP SRV record 3 - Round-robin between multiple hosts 4 - Failover between multiple hosts Please select:
- 1번 옵션의 경우
/etc/resolv.conf에 표시된 DNS 서버를 사용하여 IP 주소를 확인합니다./etc/resolv.conf파일이 올바른 DNS 서버를 업데이트했는지 확인합니다.LDAP 서버의 정규화된 도메인 이름(FQDN) 또는 IP 주소를 입력합니다. SRV 레코드와dig명령을 사용하여 도메인 이름을 찾을 수 있습니다. SRV 레코드 형식은 다음과 같습니다: _service._protocol.domain name. 예:dig _ldap._tcp.redhat.com SRV. - 2번 옵션의 경우 DNS 서버의 도메인 이름을 입력합니다. DNS 검색을 실행하여 SRV 레코드를 검색해서 LDAP 서버의 도메인 이름을 찾습니다.
- 3번 옵션의 경우 공백으로 구분된 LDAP 서버 목록을 입력합니다. 서버의 FQDN 또는 IP 주소를 사용합니다. 이 정책을 통해 LDAP 서버 간 로드 밸런싱이 제공됩니다. 쿼리는 round-robin 알고리즘을 바탕으로 모든 LDAP 서버에 분배됩니다.
- 4번 옵션의 경우 공백으로 구분된 LDAP 서버 목록을 입력합니다. 서버의 FQDN 또는 IP 주소를 사용합니다. 이 정책을 통해 첫 LDAP 서버를 쿼리에 응답하는 기본 LDAP 서버로 정의합니다. 첫 서버를 사용할 수 없는 경우 쿼리는 목록에 있는 다음 LDAP 서버로 갑니다.
- 사용자의 LDAP 서버가 지원하는 보안 연결 방식을 선택하고 PEM 인코딩된 CA 인증서를 취득하는 방법을 지정합니다. 파일 옵션을 사용하여 인증서로의 전체 경로를 지정할 수 있습니다. URL 옵션을 사용하여 인증서로의 URL을 지정할 수 있습니다. 인라인 옵션을 사용하여 인증서 내용을 터미널에 복사할 수 있습니다. 시스템 옵션을 사용하여 모든 CA 파일의 기본 위치를 지정할 수 있습니다. 비보안 (insecure) 모드를 선택하는 경우에도 TLS를 사용하여 연결이 암호화되지만 인증서 확인은 건너뜁니다.
NOTE: It is highly recommended to use secure protocol to access the LDAP server. Protocol startTLS is the standard recommended method to do so. Only in cases in which the startTLS is not supported, fallback to non standard ldaps protocol. Use plain for test environments only. Please select protocol to use (startTLS, ldaps, plain) [startTLS]: startTLS Please select method to obtain PEM encoded CA certificate (File, URL, Inline, System, Insecure): File Please enter the password:
참고
LDAPS는 Lightweight Directory Access Protocol Over Secure Socket Links의 약자입니다. SSL 연결의 경우ldaps옵션을 선택합니다. - 검색 사용자 고유 이름을 입력합니다. 해당 사용자는 디렉토리 서버에서 모든 사용자 및 그룹에 대한 검색 권한이 있어야 합니다. LDAP 어노테이션(annotation)에 검색 사용자를 지정해야 합니다. 익명 검색이 허용되는 경우 아무것도 입력하지 않고 Enter를 누릅니다.
Enter search user DN (empty for anonymous): uid=user1,ou=Users,dc=test,dc=redhat,dc=com Enter search user password:
- 기본 DN을 입력합니다.
Please enter base DN (dc=redhat,dc=com) [dc=redhat,dc=com]:
- 가상 머신에 단일 로그인을 설정하려면
Yes를 입력합니다. 해당 기능은 관리 포털 및 사용자 포털 기능에 대한 단일 로그인과 함께 사용할 수 없습니다. 스크립트에서는 프로필 이름이 도메인 이름과 일치해야 함을 미리 알립니다. 가상 머신 관리 가이드에 있는 가상 머신에 대한 단일 로그인 설정의 지침을 계속해서 따라야 합니다.Are you going to use Single Sign-On for Virtual Machines (Yes, No) [No]:
- 프로파일 이름을 지정합니다. 프로파일 이름은 로그인 페이지에서 사용자에게 표시됩니다. 다음의 예시에서는
redhat.com을 사용합니다.참고
/etc/ovirt-engine/extensions.d/redhat.com-authn.properties파일에 있는ovirt.engine.aaa.authn.profile.name속성을 편집해서 도메인 설정 후 프로파일 이름을 변경합니다. 변경 사항을 적용하려면 engine 서비스를 다시 시작합니다.Please specify profile name that will be visible to users:redhat.com
그림 15.1. 관리 포털 로그인 페이지
참고
처음 로그인 시 드롭 다운 목록에서 원하는 프로파일을 선택해야 합니다. 해당 정보는 브라우저 쿠키에 저장되어 다음 로그인 시 미리 선택됩니다. - 검색 및 로그인 기능을 테스트해서 사용자의 LDAP 서버가 Red Hat Virtualization 환경에 올바르게 연결되었는지 확인합니다. 로그인 쿼리를 위해 계정 이름 및 암호를 입력합니다. 검색 쿼리를 위해 사용자 계정의 경우
Principal을 선택하고 그룹 계정의 경우Group을 선택합니다.Resolve Groups에 대해Yes로 대답하면 사용자 계정의 그룹 계정 정보가 반환됩니다.Done을 선택하여 설정을 완료합니다. 세 개의 설정 파일이 생성되며 출력 화면에 표시됩니다.NOTE: It is highly recommended to test drive the configuration before applying it into engine. Perform at least one Login sequence and one Search sequence. Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Login Enter search user name: testuser1 Enter search user password: [ INFO ] Executing login sequence... ... Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Search Select entity to search (Principal, Group) [Principal]: Term to search, trailing '*' is allowed: testuser1 Resolve Groups (Yes, No) [No]: [ INFO ] Executing login sequence... ... Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Done [ INFO ] Stage: Transaction setup [ INFO ] Stage: Misc configuration [ INFO ] Stage: Package installation [ INFO ] Stage: Misc configuration [ INFO ] Stage: Transaction commit [ INFO ] Stage: Closing up CONFIGURATION SUMMARY Profile name is: redhat.com The following files were created: /etc/ovirt-engine/aaa/redhat.com.properties /etc/ovirt-engine/extensions.d/redhat.com-authz.properties /etc/ovirt-engine/extensions.d/redhat.com-authn.properties [ INFO ] Stage: Clean up Log file is available at /tmp/ovirt-engine-extension-aaa-ldap-setup-20160114064955-1yar9i.log: [ INFO ] Stage: Pre-termination [ INFO ] Stage: Termination - engine 서비스를 다시 시작합니다. 생성된 프로파일이 관리 포털과 사용자 포털의 로그인 페이지에서 사용 가능합니다. LDAP 서버의 사용자 계정에 예를 들어 사용자 포털 로그인과 같이 적절한 역할 및 권한을 할당하는 방법은 15.6절. “관리 포털에서 사용자 작업 관리”에서 참조하십시오.
# systemctl restart ovirt-engine.service
참고
보다 자세한 내용은
/usr/share/doc/ovirt-engine-extension-aaa-ldap-version에 있는 LDAP 인증 확장 README 파일에서 참조하십시오.
15.3.2. Active Directory 연결
전제 조건:
- Active Directory 포리스트 이름을 알아야 합니다. 포리스트 이름은 root 도메인 이름이라고도 합니다.
- Active Directory 포리스트 이름을 확인할 수 있는 DNS 서버를 Manager에 있는
/etc/resolv.conf파일에 추가하거나 Active Directory DNS 서버를 적어 놓았다가 대화형 (interactive) 설정 스크립트에서 메시지가 나타나면 해당 서버를 입력합니다. - LDAP 서버와 Manager 간의 보안 연결을 설정하려면 PEM 인코딩된 CA 인증서를 준비합니다. 보다 자세한 내용은 D.2절. “Manager 및 LDAP 서버 간의 SSL 또는 TLS 연결 설정”을 참조하십시오.
- 익명 검색이 지원되지 않는 경우 모든 사용자 및 그룹에 대한 검색 권한이 있는 사용자가 Active Directory에서 검색 사용자로 사용 가능해야 합니다. 검색 사용자의 고유 이름(DN)을 적어 놓습니다. Active Directory의 관리 사용자를 사용하지 않습니다.
- Active Directory에 검색 및 로그인 쿼리를 수행할 수 있는 계정 이름과 암호를 최소한 하나 준비해 놓습니다.
절차 15.2. 외부 LDAP 공급자 설정
- Red Hat Virtualization Manager에서 LDAP 확장 패키지를 설치합니다:
# yum install ovirt-engine-extension-aaa-ldap-setup
ovirt-engine-extension-aaa-ldap-setup명령을 실행해서 대화형 설정을 시작합니다:# ovirt-engine-extension-aaa-ldap-setup
- 해당하는 번호를 입력해서 LDAP 유형을 선택합니다. LDAP 유형에 따라 이후의 단계에 있는 LDAP 관련 질문이 다릅니다.
Available LDAP implementations: 1 - 389ds 2 - 389ds RFC-2307 Schema 3 - Active Directory 4 - IPA 5 - Novell eDirectory RFC-2307 Schema 6 - OpenLDAP RFC-2307 Schema 7 - OpenLDAP Standard Schema 8 - Oracle Unified Directory RFC-2307 Schema 9 - RFC-2307 Schema (Generic) 10 - RHDS 11 - RHDS RFC-2307 Schema 12 - iPlanet Please select: 3
- Active Directory 포리스트 이름을 입력합니다. Manager의 DNS에서 포리스트 이름을 확인할 수 없는 경우 스크립트의 메시지에 따라 공백으로 구분된 Active Directory DNS 서버 이름 목록을 입력합니다.
Please enter Active Directory Forest name: ad-example.redhat.com [ INFO ] Resolving Global Catalog SRV record for ad-example.redhat.com [ INFO ] Resolving LDAP SRV record for ad-example.redhat.com
- 사용자의 LDAP 서버가 지원하는 보안 연결 방식을 선택하고 PEM 인코딩된 CA 인증서를 취득하는 방법을 지정합니다. 파일 옵션을 사용하여 인증서로의 전체 경로를 지정할 수 있습니다. URL 옵션을 사용하여 인증서로의 URL을 지정할 수 있습니다. 인라인 옵션을 사용하여 인증서 내용을 터미널에 복사할 수 있습니다. 시스템 옵션을 사용하여 모든 CA 파일의 위치를 지정할 수 있습니다. 비보안 (insecure) 옵션을 사용하여 비보안 (insecure) 모드에서 startTLS를 사용합니다.
NOTE: It is highly recommended to use secure protocol to access the LDAP server. Protocol startTLS is the standard recommended method to do so. Only in cases in which the startTLS is not supported, fallback to non standard ldaps protocol. Use plain for test environments only. Please select protocol to use (startTLS, ldaps, plain) [startTLS]: startTLS Please select method to obtain PEM encoded CA certificate (File, URL, Inline, System, Insecure): File Please enter the password:
참고
LDAPS는 Lightweight Directory Access Protocol Over Secure Socket Links의 약자입니다. SSL 연결의 경우ldaps옵션을 선택합니다.PEM 인코딩된 CA 인증서 생성에 대한 보다 자세한 내용은 D.2절. “Manager 및 LDAP 서버 간의 SSL 또는 TLS 연결 설정”에서 참조하시기 바랍니다. - 검색 사용자 고유 이름을 입력합니다. 해당 사용자는 디렉토리 서버에서 모든 사용자 및 그룹에 대한 검색 권한이 있어야 합니다. 이 검색 사용자는 LDAP 어노테이션(annotation)에 지정되어 있어야 합니다. 익명 검색이 허용되는 경우 아무것도 입력하지 않고 Enter를 누릅니다.
Enter search user DN (empty for anonymous): uid=user1,ou=Users,dc=test,dc=redhat,dc=com Enter search user password:
- 프로파일 이름을 지정합니다. 프로파일 이름은 로그인 페이지에서 사용자에게 표시됩니다. 다음의 예시에서는
redhat.com을 사용합니다.Please specify profile name that will be visible to users:redhat.com
그림 15.2. 관리 포털 로그인 페이지
참고
처음 로그인 시 드롭 다운 목록에서 원하는 프로파일을 선택해야 합니다. 해당 정보는 브라우저 쿠키에 저장되어 다음 로그인 시 미리 선택됩니다. - 검색 및 로그인 기능을 테스트해서 사용자의 LDAP 서버가 Red Hat Virtualization 환경에 올바르게 연결되었는지 확인합니다. 로그인 쿼리를 위해 계정 이름 및 암호를 입력합니다. 검색 쿼리를 위해 사용자 계정의 경우
Principal을 선택하고 그룹 계정의 경우Group을 선택합니다.Resolve Groups에 대해Yes로 대답하면 사용자 계정의 그룹 계정 정보가 반환됩니다.Done을 선택하여 설정을 완료합니다. 세 개의 설정 파일이 생성되며 출력 화면에 표시됩니다.NOTE: It is highly recommended to test drive the configuration before applying it into engine. Perform at least one Login sequence and one Search sequence. Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Login Enter search user name: testuser1 Enter search user password: [ INFO ] Executing login sequence... ... Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Search Select entity to search (Principal, Group) [Principal]: Term to search, trailing '*' is allowed: testuser1 Resolve Groups (Yes, No) [No]: [ INFO ] Executing login sequence... ... Select test sequence to execute (Done, Abort, Login, Search) [Abort]: Done [ INFO ] Stage: Transaction setup [ INFO ] Stage: Misc configuration [ INFO ] Stage: Package installation [ INFO ] Stage: Misc configuration [ INFO ] Stage: Transaction commit [ INFO ] Stage: Closing up CONFIGURATION SUMMARY Profile name is: redhat.com The following files were created: /etc/ovirt-engine/aaa/redhat.com.properties /etc/ovirt-engine/extensions.d/redhat.com-authz.properties /etc/ovirt-engine/extensions.d/redhat.com-authn.properties [ INFO ] Stage: Clean up Log file is available at /tmp/ovirt-engine-extension-aaa-ldap-setup-20160114064955-1yar9i.log: [ INFO ] Stage: Pre-termination [ INFO ] Stage: Termination - 생성된 프로파일이 관리 포털과 사용자 포털의 로그인 페이지에서 사용 가능합니다. LDAP 서버의 사용자 계정에 예를 들어 사용자 포털 로그인과 같이 적절한 역할 및 권한을 할당하는 방법은 15.6절. “관리 포털에서 사용자 작업 관리”에서 참조하십시오.
참고
보다 자세한 내용은
/usr/share/doc/ovirt-engine-extension-aaa-ldap-version에 있는 LDAP 인증 확장 README 파일에서 참조하십시오.
15.3.3. 외부 LDAP 공급자 설정 (수동 설정)
ovirt-engine-extension-aaa-ldap 확장은 LDAP 프로토콜을 사용하여 디렉토리 서버에 액세스하며 사용자 정의 가능합니다. 사용자 포털 또는 관리 포털에 단일 사용 승인(single sign-on)을 활성화하는 경우를 제외하면 Kerberos 인증을 하지 않아도 됩니다.
이전 부분의 대화형 설정 방식이 사용자의 경우에 해당되지 않으면 설정 파일을 수동으로 수정해서 LDAP 서버를 연결합니다. 다음의 절차는 일반적인 내용입니다. 사용자의 설정에 맞도록 해당 값을 변경합니다.
절차 15.3. 외부 LDAP 공급자 수동 설정
- Red Hat Virtualization Manager에서 LDAP 확장 패키지를 설치합니다:
# yum install ovirt-engine-extension-aaa-ldap
- LDAP 설정 템플릿 파일을
/etc/ovirt-engine디렉토리에 복사합니다. 템플릿 파일은 Active Directory (ad) 및 기타 다른 디렉토리 유형 (simple)에서 사용할 수 있습니다. 다음 예에서는 간단한 설정 템플릿을 사용합니다.# cp -r /usr/share/ovirt-engine-extension-aaa-ldap/examples/simple/. /etc/ovirt-engine
- 관리 포털 및 사용자 포털 로그인 페이지에서 표시되길 원하는 이름으로 설정 파일의 이름을 변경합니다:
# mv /etc/ovirt-engine/aaa/profile1.properties /etc/ovirt-engine/aaa/example.properties # mv /etc/ovirt-engine/extensions.d/profile1-authn.properties /etc/ovirt-engine/extensions.d/example-authn.properties # mv /etc/ovirt-engine/extensions.d/profile1-authz.properties /etc/ovirt-engine/extensions.d/example-authz.properties
- LDAP 서버 유형을 주석 해제하고 도메인 및 암호 필드를 업데이트하여 LDAP 속성 설정 파일을 편집합니다:
# vi /etc/ovirt-engine/aaa/example.properties
예 15.1. 프로파일 예: LDAP 서버 부분
# Select one # include = <openldap.properties> #include = <389ds.properties> #include = <rhds.properties> #include = <ipa.properties> #include = <iplanet.properties> #include = <rfc2307-389ds.properties> #include = <rfc2307-rhds.properties> #include = <rfc2307-openldap.properties> #include = <rfc2307-edir.properties> #include = <rfc2307-generic.properties> # Server # vars.server = ldap1.company.com # Search user and its password. # vars.user = uid=search,cn=users,cn=accounts,dc=company,dc=com vars.password = 123456 pool.default.serverset.single.server = ${global:vars.server} pool.default.auth.simple.bindDN = ${global:vars.user} pool.default.auth.simple.password = ${global:vars.password}LDAP 서버와 통신하는 TLS 또는 SSL 프로토콜을 사용하려면 LDAP 서버의 root CA 인증서를 취득하고 이를 사용하여 공개 keystore 파일을 생성합니다. 다음 행을 주석 해제 처리하고 공개 keystore 파일로의 완전 경로 및 파일에 액세스하기 위한 암호를 지정합니다.참고
공개 keystore 파일 생성에 대한 보다 자세한 내용은 D.2절. “Manager 및 LDAP 서버 간의 SSL 또는 TLS 연결 설정”에서 참조하십시오.예 15.2. 프로파일 예: keystore 부분
# Create keystore, import certificate chain and uncomment # if using tls. pool.default.ssl.startTLS = true pool.default.ssl.truststore.file = /full/path/to/myrootca.jks pool.default.ssl.truststore.password = password
- 인증 설정 파일을 확인합니다. 관리 포털 및 사용자 포털 로그인 페이지에서 사용자가 볼 수 있는 프로파일 이름은
ovirt.engine.aaa.authn.profile.name에 정의되어 있습니다. 설정 프로파일 위치는 LDAP 설정 파일 위치와 일치해야 합니다. 모든 필드는 기본값으로 둘 수 있습니다.# vi /etc/ovirt-engine/extensions.d/example-authn.properties
예 15.3. 인증 설정 파일의 예
ovirt.engine.extension.name = example-authn ovirt.engine.extension.bindings.method = jbossmodule ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.ldap ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.ldap.AuthnExtension ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Authn ovirt.engine.aaa.authn.profile.name = example ovirt.engine.aaa.authn.authz.plugin = example-authz config.profile.file.1 = ../aaa/example.properties
- 인증 설정 파일을 확인합니다. 설정 프로파일 위치는 LDAP 설정 파일 위치와 일치해야 합니다. 모든 필드는 기본값으로 둘 수 있습니다.
# vi /etc/ovirt-engine/extensions.d/example-authz.properties
예 15.4. 인증 설정 파일의 예
ovirt.engine.extension.name = example-authz ovirt.engine.extension.bindings.method = jbossmodule ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.ldap ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.ldap.AuthzExtension ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Authz config.profile.file.1 = ../aaa/example.properties
- 설정 파일의 소유권 및 권한이 적절한지 확인합니다:
# chown ovirt:ovirt /etc/ovirt-engine/aaa/example.properties
# chmod 600 /etc/ovirt-engine/aaa/example.properties
- engine 서비스를 다시 시작합니다:
# systemctl restart ovirt-engine.service
- 생성된 example 프로파일이 관리 포털과 사용자 포털의 로그인 페이지에서 사용 가능합니다. LDAP 서버의 사용자 계정에 예를 들어 사용자 포털 로그인과 같이 적절한 권한을 할당하는 방법은 15.6절. “관리 포털에서 사용자 작업 관리”에서 참조하십시오.
참고
보다 자세한 내용은
/usr/share/doc/ovirt-engine-extension-aaa-ldap-version에 있는 LDAP 인증 확장 README 파일에서 참조하십시오.
