Show Table of Contents
D.2. 在 Manager 和一个 LDAP 服务器间设置 SSL 或 TLS 连接
要在 Red Hat Enterpriser Virtualization Manager 和一个 LDAP 服务器间创建一个安全的连接,需要获得 LDAP 服务器的根(root)CA 证书,把根 CA 证书复制到 Manager 并创建一个 PEM 编码的 CA 证书。keystore 类型可以是任何 Java 支持的类型。以下使用 Java KeyStore(JKS)格式。
注意
如需了解更多与创建 PEM 编码的 CA 证书相关的信息,请参阅 README 文件(
/usr/share/doc/ovirt-engine-extension-aaa-ldap-version)的 X.509 CERTIFICATE TRUST STORE 一节。
过程 D.2. 创建一个 PEM 编码的 CA 证书
- 在 Red Hat Virtualization Manager 中把 LDAP 服务器的根 CA 证书复制到
/tmp目录,并使用keytool导入根 CA 证书来创建一个 PEM 编码的 CA 证书。以下命令把根 CA 证书导入到 /tmp/myrootca.pem,并在 /etc/ovirt-engine/aaa/ 中创建一个 PEM 编码的 CA 证书。记录下证书的位置和密码。如果使用交换式工具程序,这些就是您需要的所有信息。如果手工配置 LDAP 服务器,安装以下步骤更新配置文件。$ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password
- 使用证书信息更新
/etc/ovirt-engine/aaa/profile1.properties文件:注意
${local:_basedir}是 LDAP 属性配置文件所在的目录,它指向/etc/ovirt-engine/aaa目录。如果您在不同的目录中创建了 PEM 编码的 CA 证书,使用到证书文件的完全路径替换${local:_basedir}。- 使用 startTLS(推荐):
# Create keystore, import certificate chain and uncomment pool.default.ssl.startTLS = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password - 使用 SSL:
# Create keystore, import certificate chain and uncomment pool.default.serverset.single.port = 636 pool.default.ssl.enable = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password
要继续配置一个外部的 LDAP 供应商,请参阅 第 15.3.1 节 “删除一个外部 LDAP 供应商(交互式设置)”。要继续配置 LDAP 和 Kerberos 实现单点登录功能,请参阅 第 15.4 节 “为 LDAP 和 Kerberos 配置单点登录”。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.