文章推荐:
ovirt-engine 接管外部LDAP用户(一): 搭建OpenLDAP服务
ovirt-engine 接管外部LDAP用户(二): 在ovirt-engine接入OpenLDAP
我们在上一篇中建立了一个OpenLDAP服务,并且介绍了一些ovirt engine接入相关的注意事项。现在我们就开始将这个LDAP服务接入ovirt engine中来吧! ????
在ovirt engine中配置OpenLDAP的CA证书
首先我们需要将OpenLDAP服务的CA证书拷到engine上来。假设我们将它放到了/tmp目录下,即 /tmp/ca.cert.pem。
然后执行
keytool -importcert -noprompt -trustcacerts -alias ldapca -file /tmp/ca.cert.pem -keystore /etc/ovirt-engine/aaa/ldapca.jks -storepass 123456
-storepass为密码,需要在下面使用。
新建文件/etc/ovirt-engine/aaa/profile1.properties,内容为:
pool.default.ssl.startTLS = true pool.default.ssl.truststore.file = /etc/ovirt-engine/aaa/ldapca.jks pool.default.ssl.truststore.password = 123456
其中最后一个参数就是上面的那个密码。
使用ovirt-engine-extension-aaa-ldap-setup接入LDAP服务
在这里我遇到了一个问题,由于我没有使用DNS来管理我的LDAP服务,导致setup脚本在检测LDAP域名的地方总是失败。我采取的解决方法比较粗暴,直接修改了setup脚本的相关文件。如果你有更好的方式,欢迎评论区一起交流。???
我修改的文件是 /usr/share/ovirt-engine-extension-aaa-ldap/setup/plugins/ovirt-engine-extension-aaa-ldap/ldap/common.py。
在160行的位置有一个方法def _resolveHost(self, arg), 让这个方法永远返回True就可以了。
在 /etc/hosts 中配置OpenLDAP的域名,这个跟第一篇中建立证书时设置的那个域名必须一致。如下:
192.168.8.13 ldap-server.com
现在我们就可以使用 ovirt-engine-extension-aaa-ldap-setup 脚本来接入了,我下面给出我setup的过程截图(新页面打开放大查看),至于里面的详细参数可以参考文末给出的参考文档。
这样setup之后,我们需要重启ovirt engine服务
然后我们打开ovirt engine登录页面,就会看到相应的域名了。如下图:
我们使用admin@internal登录进web amdin之后,在用户管理中就可以发现刚刚配置的ldap 用户了,然后我们就可以给他们赋不同的权限了。
到此为止我们就完成了对LDAP用户的接入管理了。?????
参考:
https://access.redhat.com/documentation/en-us/red_hat_enterprise_virtualization/3.6/html/administration_guide/Setting_Up_SSL_or_TLS_Connections_between_the_Manager_and_an_LDAP_Server
https://access.redhat.com/documentation/en-us/red_hat_enterprise_virtualization/3.6/html/administration_guide/sect-configuring_an_external_ldap_provider
[…] ovirt-engine 接管外部LDAP用户(一): 搭建OpenLDAP服务 ovirt-engine 接管外部LDAP用户(二): 在ovirt-engine接入OpenLDAP 我们这里的目标是在ovirt […]