D.2. 在 Manager 和一个 LDAP 服务器间设置 SSL 或 TLS 连接

要在 Red Hat Enterpriser Virtualization Manager 和一个 LDAP 服务器间创建一个安全的连接,需要获得 LDAP 服务器的根(root)CA 证书,把根 CA 证书复制到 Manager 并创建一个 PEM 编码的 CA 证书。keystore 类型可以是任何 Java 支持的类型。以下使用 Java KeyStore(JKS)格式。

注意

如需了解更多与创建 PEM 编码的 CA 证书相关的信息,请参阅 README 文件(/usr/share/doc/ovirt-engine-extension-aaa-ldap-version)的 X.509 CERTIFICATE TRUST STORE 一节。

过程 D.2. 创建一个 PEM 编码的 CA 证书

  1. 在 Red Hat Virtualization Manager 中把 LDAP 服务器的根 CA 证书复制到 /tmp 目录,并使用 keytool 导入根 CA 证书来创建一个 PEM 编码的 CA 证书。以下命令把根 CA 证书导入到 /tmp/myrootca.pem,并在 /etc/ovirt-engine/aaa/ 中创建一个 PEM 编码的 CA 证书。记录下证书的位置和密码。如果使用交换式工具程序,这些就是您需要的所有信息。如果手工配置 LDAP 服务器,安装以下步骤更新配置文件。
    $ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password
  2. 使用证书信息更新 /etc/ovirt-engine/aaa/profile1.properties 文件:

    注意

    ${local:_basedir} 是 LDAP 属性配置文件所在的目录,它指向 /etc/ovirt-engine/aaa 目录。如果您在不同的目录中创建了 PEM 编码的 CA 证书,使用到证书文件的完全路径替换 ${local:_basedir}
    • 使用 startTLS(推荐):
      # Create keystore, import certificate chain and uncomment
      pool.default.ssl.startTLS = true
      pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
      pool.default.ssl.truststore.password = password
    • 使用 SSL:
      # Create keystore, import certificate chain and uncomment
      pool.default.serverset.single.port = 636
      pool.default.ssl.enable = true
      pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
      pool.default.ssl.truststore.password = password
要继续配置一个外部的 LDAP 供应商,请参阅 第 14.3.1 节 “配置一个外部 LDAP 供应商(交互式设置)”。要继续配置 LDAP 和 Kerberos 实现单点登录功能,请参阅 第 14.4 节 “为 LDAP 和 Kerberos 配置单点登录”

为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。