ovirt-engine 接管外部LDAP用户(二): 在ovirt-engine接入OpenLDAP

我们在上一篇中建立了一个OpenLDAP服务,并且介绍了一些ovirt engine接入相关的注意事项。现在我们就开始将这个LDAP服务接入ovirt engine中来吧! ????

在ovirt engine中配置OpenLDAP的CA证书

首先我们需要将OpenLDAP服务的CA证书拷到engine上来。假设我们将它放到了/tmp目录下,即 /tmp/ca.cert.pem。

然后执行

keytool -importcert -noprompt -trustcacerts -alias ldapca -file /tmp/ca.cert.pem -keystore /etc/ovirt-engine/aaa/ldapca.jks -storepass 123456

-storepass为密码,需要在下面使用。

新建文件/etc/ovirt-engine/aaa/profile1.properties,内容为:

pool.default.ssl.startTLS = true
pool.default.ssl.truststore.file = /etc/ovirt-engine/aaa/ldapca.jks
pool.default.ssl.truststore.password = 123456

其中最后一个参数就是上面的那个密码。

使用ovirt-engine-extension-aaa-ldap-setup接入LDAP服务

在这里我遇到了一个问题,由于我没有使用DNS来管理我的LDAP服务,导致setup脚本在检测LDAP域名的地方总是失败。我采取的解决方法比较粗暴,直接修改了setup脚本的相关文件。如果你有更好的方式,欢迎评论区一起交流。???

我修改的文件是 /usr/share/ovirt-engine-extension-aaa-ldap/setup/plugins/ovirt-engine-extension-aaa-ldap/ldap/common.py。

在160行的位置有一个方法def _resolveHost(self, arg), 让这个方法永远返回True就可以了。

在 /etc/hosts 中配置OpenLDAP的域名,这个跟第一篇中建立证书时设置的那个域名必须一致。如下:

192.168.8.13 ldap-server.com

现在我们就可以使用 ovirt-engine-extension-aaa-ldap-setup 脚本来接入了,我下面给出我setup的过程截图(新页面打开放大查看),至于里面的详细参数可以参考文末给出的参考文档。

这样setup之后,我们需要重启ovirt engine服务

然后我们打开ovirt engine登录页面,就会看到相应的域名了。如下图:

我们使用admin@internal登录进web amdin之后,在用户管理中就可以发现刚刚配置的ldap 用户了,然后我们就可以给他们赋不同的权限了。

到此为止我们就完成了对LDAP用户的接入管理了。?????

参考:

https://access.redhat.com/documentation/en-us/red_hat_enterprise_virtualization/3.6/html/administration_guide/Setting_Up_SSL_or_TLS_Connections_between_the_Manager_and_an_LDAP_Server

https://access.redhat.com/documentation/en-us/red_hat_enterprise_virtualization/3.6/html/administration_guide/sect-configuring_an_external_ldap_provider

2 条回复 A 作者 M 管理员 E
欢迎您,新朋友,感谢参与互动!欢迎您 {{author}},您在本站有{{commentsCount}}条评论