C.2. 在 Manager 和一个 LDAP 服务器间设置 SSL 或 TLS 连接
要在 Red Hat Enterpriser Virtualization Manager 和一个 LDAP 服务器间创建一个安全的连接,需要获得服务器的根(root)CA 证书。把它导入到 Manager 来创建一个公共 keystore 文件来保存信息。keystore 可以是 Java 支持的任何类型,以下操作使用 Java KeyStore (JKS) 格式。
注意
如需了解更多与创建证书 keystore 相关的信息,请参阅 README 文件(
/usr/share/doc/ovirt-engine-extension-aaa-ldap-version
)的 X.509 CERTIFICATE TRUST STORE
一节。
获得 LDAP 服务器的根 CA 证书,把它复制到 Manager 的
/tmp
目录下。然后,使用以下流程在 Manager 上创建一个公共 keystore 文件。使用功能 keystore 文件的信息更新 LDAP 属性配置文件。
过程 C.2. 创建一个 keystore 文件
- 在 Red Hat Enterprise Virtualization Manager 上,导入证书并创建一个公共 keystore 文件。以下命令会在 /tmp/myrootca.pem 导入根 CA 证书,并在 /etc/ovirt-engine/aaa/ 中创建一个公共 keystore 文件(myrootca.jks)。
$ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass changeit
- 使用 keystore 文件的信息更新
/etc/ovirt-engine/aaa/profile1.properties
文件。注意
${local:_basedir}
是 LDAP 属性配置文件所在的目录,它指向/etc/ovirt-engine/aaa
目录。如果您在不同的目录中创建了公共 keystore 文件,使用到公共 keystore 文件的完全路径替换${local:_basedir}
。- 使用 startTLS(推荐):
# Create keystore, import certificate chain and uncomment pool.default.ssl.startTLS = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = changeit
- 使用 SSL:
# Create keystore, import certificate chain and uncomment pool.default.serverset.single.port = 636 pool.default.ssl.enable = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = changeit
要继续配置一个通用的 LDAP 供应商,请参阅 第 13.2.2 节 “配置通用的 LDAP 供应商”。要配置 LDAP 和 Kerberos 进行单点登录,请参阅 第 13.2.3.1 节 “为 LDAP 和 Kerberos 配置单点登录”。