Настройка единого входа (SSO) в HOSTVM Manager через LDAP и Kerberos

Требования

1. Вход на портал управления должен осуществляться по полному доменному имени (FQDN), содержащему домен, с которым будет настроена связь (пример: engine.hostvm.test). При отсутствии домена вход не будет работать.

2. HOSTVM Manager должен обязательно разрешаться по полному имени для пользователей домена.

3. Между контроллером домена и HOSTVM Manager должна быть синхронизирована время.

4. Вход по протоколу Kerberos возможен только с АРМ, введённой в данный домен, и с предварительно настроенного на ней браузера.

Подготовка контроллера домена для работы с HOSTVM Manager

1. Создание сервисной учетной записи

1. Создайте учетную запись (УЗ) в Active Directory.

Пример имени: hostvm

Задайте параметры учетной записи:

• Имя - hostvm

• Имя входа пользователя - hostvm

Настройте параметры пароля:

• Отключите «Требовать смену пароля при следующем входе в систему»

• Включите «Запретить смену пароля пользователем»

• Включите «Срок действия пароля не ограничен»

Откройте свойства учетной записи, перейдите на вкладку «Учетная запись» → раздел «Параметры учетной записи» и включите:

• «Данная учетная запись поддерживает 128-разрядное шифрование»

• «Данная учетная запись поддерживает 256-разрядное шифрование»

На основе этих параметров создаётся keytab-файл. Если параметры не указаны, управляющая машина не сможет расшифровать билеты.

2. Создание keytab-файла для Apache

Выполните команду на контроллере домена (Windows) от имени администратора:

Где замените на свои значения:

• engine.hostvm.test — полное доменное имя сервера HOSTVM Manager

• @HOSTVM.TEST — домен Kerberos (должен быть в верхнем регистре)

• HOSTVM\hostvm — учётная запись AD, к которой будет привязан principal (домен\имя_пользователя)

• Passw0rd — пароль учётной записи, указанной в -mapuser. Должен совпадать с паролем сервисной УЗ в AD

• C:\Temp\http.keytab — путь для сохранения созданного keytab-файла и его имя

3. Перемещение keytab-файла на управляющую машину в среду виртуализации

Скопируйте созданный keytab-файл, например, с помощью scp:

Настройка HOSTVM Manager

1. Установка прав доступа на файл keytab:

1. Установка необходимых пакетов

1. Копирование конфигурации Apache для SSO

1. Копирование шаблонов конфигурации (с указанием имени домена в названии файла)

Файл конфигурации LDAP

Файл конфигурации авторизации

Файл конфигурации аутентификации

Файл конфигурации проверки подлинности

1. Редактирование файла конфигурации LDAP

Пример параметров (укажите свои значения):

1. Редактирование файла конфигурации аунтификации

Приведите параметры к виду:

1. Редактирование файла конфигурации авторизации

Приведите указанные параметры к виду:

1. Редактирование файла конфигурации проверка подлинности (mapping)

Приведите указанный параметр к виду:

1. Установка прав доступа на файлы конфигурации

1. Перезапустите служб

Предоставление прав для пользователей

После того как управляющая машина успешно подключена к домену, вы можете добавить учётные записи доменных пользователей в систему и назначить им необходимые права.

1. Войдите на портал администратора, например под учетной записью admin@internal.

2. Для назначения прав пользователям домена следуйте инструкции «Назначение ролей пользователям»:

• выберите подключённый домен;

• найдите необходимые учётные записи;

• предоставьте им соответствующие права.

Настройка браузера на клиенте для SSO-аутентификации

Для корректного входа на веб-портал HOSTVM Manager с использованием аутентификации по протоколу Kerberos необходимо выполнить дополнительную настройку браузера на клиентских устройствах.

Настройка для браузера Mozilla Firefox

1. Откройте браузер и в адресной строке введите about:config.

2. Добавьте полное доменное имя HOSTVM Manager (например, engine.hostvm.test) в значения следующих параметров:

Пример:

Настройка для браузера Microsoft Edge (и Internet Explorer)

1. Нажмите «Пуск», введите «Свойства браузера» и откройте соответствующее окно.

2. Перейдите на вкладку «Безопасность».

3. Выделите зону «Местная интрасеть» и нажмите кнопку «Сайты»

4. Нажмите «Дополнительно» и добавьте в зону используемый домен. Для задания шаблона используйте символ *.

1. Сохраните настройки, нажимая «ОК» во всех открытых окнах.

Настройка для браузера Google Chrome

Запустите браузер из командной строки со следующими параметрами:

Для постоянного применения можно создать ярлык браузера и в поле «Объект» добавить указанные параметры после пути к исполняемому файлу.

Настройка защищенного соединения startTLS между HOSTVM Manager и контролером домена

1. Получите корневой сертификат центра сертификации или самоподписанный сертификат контроллера Active Directory.

2. Загрузите сертификат в формате .crt на HOSTVM Managerв директорию /root.

3. Импортируйте сертификат в хранилище доверенных корневых ЦС выполнив команду на управляющей машине

Где замените на свои значения:

• hostvm-root-ca — псевдоним сертификата в хранилище

• /root/hostvm_Root_CA.crt — путь и имя скопированного сертификата

• hostvm-ca.jks - имя хранилища ключей

• Passw0rd — пароль для доступа к хранилищу

1. Убедитесь, что SRV-записи успешно определяются

Замените hostvm.test на ваше доменное имя.

1. Откройте файл /etc/ovirt-engine/aaa/hostvm.test.properties (вместо hostvm.test укажите имя вашего домена). Раскомментируйте и приведите к следующему виду строки:

Где замените на свои значения исполлуюемые на шаге 3:

• hostvm-ca.jks — псевдоним сертификата в хранилище

• Passw0rd — пароль для доступа к хранилищу

1. Перезапустите службу

1. Убедитесь, что пользователи из LDAP/AD могут успешно аутентифицироваться в HOSTVM Manager.