D.2. 관리자와 LDAP 서버 간 암호화 통신 설정

Red Hat Virtualization Manager와 LDAP 서버 간에 암호화된 통신을 설정하려면 LDAP 서버의 루트 CA 인증서를 가져와서 관리자에 루트 CA 인증서를 복사하고 PEM 인코딩 CA 인증서를 생성합니다. 키 저장소 유형은 모든 Java 지원 유형일 수 있습니다. 다음 절차에서는 JDK(Java KeyStore) 형식을 사용합니다.

참고

PEM 인코딩 CA 인증서 생성 및 인증서 가져오기에 대한 자세한 내용은 README 파일의 X.509ECDHERTIFICATEUST STORE 섹션을 참조하십시오. /usr/share/doc/ovirt-engine-extension-aaa-ldap-버전.

PEM 인코딩 CA 인증서 생성

  1. Red Hat Virtualization Manager에서 LDAP 서버의 루트 CA 인증서를 /tmp 디렉터리에 복사하고 keytool 을 사용하여 PEM 인코딩 CA 인증서를 생성합니다. 다음 명령은 /tmp/myrootca.pem 에서 루트 CA 인증서를 가져오고 /etc/ovirt-engine/aaa/ 아래에 PEM 인코딩 CA 인증서 myrootca.jks 를 생성합니다. 인증서의 위치와 암호를 기록해 둡니다. 대화형 설정 도구를 사용하는 경우 필요한 모든 정보입니다. LDAP 서버를 수동으로 구성하는 경우 나머지 절차에 따라 구성 파일을 업데이트합니다.

    $ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password
  2. /etc/ovirt-engine/aaa/profile1.properties 파일을 인증서 정보로 업데이트합니다.

    참고

    ${local:_basedir} 는 LDAP 속성 구성 파일이 있고 /etc/ovirt-engine/aaa 디렉터리를 가리키는 디렉터리입니다. PEM 인코딩 CA 인증서를 다른 디렉터리에 생성한 경우 ${local:_basedir} 를 인증서의 전체 경로로 교체합니다.

    • startTLS(권장됨)를 사용하려면 다음을 수행합니다.

      # Create keystore, import certificate chain and uncomment
      pool.default.ssl.startTLS = true
      pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
      pool.default.ssl.truststore.password = password
    • SSL을 사용하려면 다음을 수행합니다.

      # Create keystore, import certificate chain and uncomment
      pool.default.serverset.single.port = 636
      pool.default.ssl.enable = true
      pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
      pool.default.ssl.truststore.password = password

외부 LDAP 공급자 구성을 계속 보려면 외부 LDAP 공급자 구성을 참조하십시오. LDAP 및 Kerberos for Single Sign-on을 계속 구성하려면 SSO( Single Sign-On)용 LDAP 및 Kerberos 구성 을 참조하십시오.