D.2. Manager 및 LDAP 서버 간의 SSL 또는 TLS 연결 설정

Red Hat Enterpriser Virtualization Manager와 LDAP 서버 간의 보안 연결을 설정하려면 LDAP 서버의 root CA 인증서를 취득하고 root CA 인증서를 Manager로 복사해서 PEM 인코딩된 CA 인증서를 생성합니다. 모든 Java 지원 keystore 유형을 사용할 수 있습니다. 다음의 절차에서는 Java KeyStore (JKS) 형식을 사용합니다.

참고

PEM 인코딩된 CA 인증서 생성 및 인증서를 가져오는 방법에 대한 보다 자세한 내용은 /usr/share/doc/ovirt-engine-extension-aaa-ldap-version에서 README 파일의 X.509 CERTIFICATE TRUST STORE 섹션에서 참조하십시오..

절차 D.2. PEM 인코딩된 CA 인증서 생성

  1. Red Hat Virtualization Manager에서 LDAP 서버의 root CA 인증서를 복사해서 /tmp 디렉토리에 넣고 keytool 명령을 실행하여 root CA 인증서를 가져와서 PEM 인코딩된 CA 인증서를 생성합니다. 다음의 명령을 사용하여 root CA 인증서를 /tmp/myrootca.pem에 가져오고 PEM 인코딩된 CA 인증서인 myrootca.jks/etc/ovirt-engine/aaa/ 밑에 생성합니다. 인증서 위치 및 암호를 적어 놓습니다. 대화형 설정 도구를 사용하는 경우 이 정보만 있으면 됩니다. LDAP 서버를 수동 설정 시 다음 절차를 마저 따라서 설정 파일을 업데이트합니다. 
    $ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password
  2. 인증서 정보로 /etc/ovirt-engine/aaa/profile1.properties 파일을 업데이트합니다:

    참고

    ${local:_basedir}는 LDAP 속성 설정 파일이 있는 디렉토리이며 /etc/ovirt-engine/aaa 디렉토리를 가리킵니다. 다른 디렉토리에 PEM 인코딩된 CA 인증서를 생성할 경우 ${local:_basedir}를 해당 인증서의 전체 경로로 변경합니다.
    • startTLS를 사용하려면 다음을 실행합니다 (권장사항): 
      # Create keystore, import certificate chain and uncomment
pool.default.ssl.startTLS = true
pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
pool.default.ssl.truststore.password = password
    • SSL을 사용하려면 다음을 실행합니다: 
      # Create keystore, import certificate chain and uncomment
pool.default.serverset.single.port = 636
pool.default.ssl.enable = true
pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
pool.default.ssl.truststore.password = password
외부 LDAP 공급자 설정을 계속하려면 14.3.1절. “외부 LDAP 공급자 설정 (대화형 설정)”를 참조하십시오. 단일 사용 승인 (SSO)을 위한 LDAP 및 Kerberos 설정에 대한 자세한 내용은 14.4절. “단일 사용 승인(SSO)을 위해 LDAP 및 Kerberos 설정”에서 참조하십시오.