search

Настройка подключения HOSTVM Manager к домену Active Directory

В данном примере приведена конфигурация подключения HOSTVM Manager к домену Active Directory.

Шаблоны конфигурации можно найти в управляющей виртуальной машине в директории /usr/share/ovirt-engine-extension-aaa-ldap/examples/ad.

Файлы профиля AD должны быть расположены в управляющей виртуальной машине в директориях /etc/ovirt-engine/aaa/ и /etc/ovirt-engine/extensions.d/:

В директории /etc/ovirt-engine/aaa/ создайте файл профиля example.ru.properties c конфигурацией:

include = <ad.properties>
circle-info

Примечание:

Если аутентификация занимает продолжительное время, используйте следующий параметр:

include = <ad-recursive.properties>

vars.domain = example.ru
vars.user = CN=<Common-Name>,OU=<Organizational Unit>,OU=<Organizational Unit>,DC=example,DC=ru
vars.password = password ///Ваш пароль

pool.default.auth.simple.bindDN = ${global:vars.user}
pool.default.auth.simple.password = ${global:vars.password}
pool.default.serverset.type = srvrecord
pool.default.serverset.srvrecord.domain = ${global:vars.domain}
pool.default.ssl.startTLS = true
pool.default.ssl.insecure = true

# Create keystore, import root certificate and uncomment
# if using ssl/tls.
#pool.default.ssl.startTLS = true
#pool.default.ssl.truststore.file = ${local:_basedir}/${global:vars.domain}.jks
#pool.default.ssl.truststore.password = changeit

# Optional DNS servers, if enterprise
# DNS server cannot resolve the forest srvrecord.
# In most cases domain controllers are also DNS servers,
# if not, find few within forest.
#
#vars.dns = dns://dc1.${global:vars.forest} dns://dc2.${global:vars.forest}

# Create keystore, import root certificate and uncomment
# if using ssl/tls.
#pool.default.ssl.startTLS = true
#pool.default.ssl.truststore.file = ${local:_basedir}/${global:vars.forest}.jks
#pool.default.ssl.truststore.password = changeit

# Active directory scale settings
# Resolve record via a specific active directory site:
#pool.default.serverset.srvrecord.domain-conversion.type = regex
#pool.default.serverset.srvrecord.domain-conversion.regex.pattern = ^(?<domain>.*)$
#pool.default.serverset.srvrecord.domain-conversion.regex.replacement = Default-First-Site-Name._sites.${domain}
# May be overridden per domain, for example for xxx.com:
#pool.default.dc-resolve.xxx_com.serverset.srvrecord.domain-conversion.regex.replacement = Non-Default-First-Site-Name._sites.${domain}

Если используется TLS или SSL протокол для подключения к LDAP серверу, загрузите корневой CA сертификат для сервера LDAP и используйте его для создания открытого keystore файла.

Раскомментируйте соответствующий блок в примере выше и укажите полный путь к общедоступному файлу keystore и пароль для доступа к нему.

В директории /etc/ovirt-engine/extensions.d/ создайте файлы параметров example.ru-authn.properties и example.ru-authz.properties:

Содержимое example.ru-authn.properties:

Содержимое example.ru-authz.properties:

Убедитесь, что права и разрешения файла конфигурации профиля соответствуют требованиям:

Перезагрузите сервис Engine:

После добавления вышеуказанных файлов конфигурации на странице входа в портал администрирования появится доступный для выбора профиль example.ru.

Чтобы предоставить учетным записям пользователей на сервере LDAP соответствующие разрешения, например, для входа в VM Portal, необходимо дополнительно присвоить права пользователю через портал администрирования.

PreviousДействия при установке HOSTVM при отсутствии записей в DNSNextИзменения и исправления

Last updated