База знаний
Войти

Подключение ROSA Virtualization к службе каталогов LDAP сервера IPA

Процедура подключения ROSA Virtualization к службе каталогов LDAP сервера IPA состоит из создания служебной учетной записи пользователя для выполнения запросов поиска в каталоге LDAP и входа на сервер IPA, а также из создания профиля подключения для идентификации и аутентификации доменных пользователей.

Создание служебной учетной записи пользователя осуществляется в интерфейсе управления сервером IPA (п. Создание служебной учетной записи пользователя с использованием веб-интерфейса).

Создание профиля подключения осуществляется в веб-интерфейсе (п. Создание профиля подключения к службе каталогов LDAP сервера IPA с помощью веб-интерфейса СУСВ) или консоли СУСВ (п. Создание профиля подключения к службе каталогов LDAP сервера IPA с помощью командной строки).

Создание служебной учетной записи пользователя с использованием веб-интерфейса

Для создания учетной записи пользователя выполните вход в интерфейс управления сервером IPA от имени учетной записи администратора admin.

Добавление новой учетной записи пользователя

В разделе "Идентификация" и в меню "Пользователи" выберите пункт "Активные пользователи". На экране появится соответствующая страница интерфейса, содержащая список активных пользователей (рисунок 85).

Нажмите кнопку Добавить и задайте логин для нового пользователя ‒ сервисной учетной записи (например, susvengine) (рисунок 86).

Примечание – Данная учетная запись является сервисной, т. е. она не соответствует ни одному человеку и используется исключительно для синхронизации сервисов СУСВ с корпоративным сервером LDAP.

Рисунок 86 – Добавление нового пользователя ‒ сервисной учетной записи

Добавление учетной записи пользователя в группы

Рисунок 87 – Активные пользователи IPA, с добавленной сервисной учетной записью susvengine

Для добавления учетной записи пользователя susvengine в группы admins и editors нажмите на ссылку с именем пользователя susvengine и в открывшемся меню с параметрами перейдите на вкладку "Группы пользователей" (рисунок 88).

Рисунок 88 – Группы пользователей ROSA Virtualization Identity Management

Нажмите кнопку Добавить. Откроется окно с интерфейсом выбора групп для пользователя (рисунок 89).

Рисунок 89 – Интерфейс выбора групп пользователей для учетной записи

В списке "Доступно" установите соответствующие флажки для выбора групп admins и editors. Нажмите кнопку переноса >. В списке "Ожидается" появятся наименования выбранных групп (рисунок 90).

Для завершения процедуры выбора групп нажмите кнопку Добавить.

Рисунок 90 – Выбор групп admins и editors для пользователя susvengine

Учетная запись пользователя добавлена в группы admins и editors (рисунок 91).

Рисунок 91 – Группы пользователя susvengine

Установка пароля для учетной записи пользователя

Для установки пароля новому пользователю перейдите на вкладку "Параметры" и из выпадающего списка, вызываемого нажатием кнопки Действия, выберите пункт "Сбросить пароль" (рисунок 92).

Рисунок 92 – Выбор действия "Сброс пароля" для пользователя

Содержимое полей "Пароль" и "Окончание действия пароля" не определено (поля пустые).

В поля "Новый пароль" и "Проверить пароль" открывшегося окна "Сбросить пароль" соответственно введите и подтвердите пароль для нового пользователя (рисунок 93).

Рисунок 93 – Сброс пароля пользователя

Изменения срока действия пароля сервисной учетной записи

Для изменения срока действия пароля пользователя необходимо использовать команду:

ipa user-mod user_name –password-expiration

где user_name ‒ это имя пользователя сервисной учетной записи:

Укажите дату/время окончания действия пароля в формате "год-месяц-число час:минута:секунда" так, чтобы дата и время окончания срока действия учетной записи наступали позднее текущего момента. Например, можно указать дату +3 месяца от текущей даты.

Пример:

ipa user-mod susvengine --password-expiration="2025-10-01 12:00:00Z"
---------------------------------
Изменён пользователь "susvengine"
---------------------------------
Имя учётной записи пользователя: susvengine
Имя: susvengine
Фамилия: susvengine
Домашний каталог: /home/susvengine
Оболочка входа: /bin/sh
Имя учётной записи: susvengine@ROSA.LAN
Псевдоним учётной записи: susvengine@ROSA.LAN
Окончание действия пароля пользователя: 20251001120000Z
Адрес электронной почты: susvengine@rosa.lan
UID: 702400004
ID группы: 702400004
Учётная запись отключена: False
Пароль: True
Участник групп: editors, admins, ipausers
Доступные ключи Kerberos: True

В данном примере строка:

Окончание действия пароля пользователя: 20251001120000Z

определяет год 2025, месяц 10, число 01, время 12:00, 00 секунд.

Для проверки даты и времени окончания срока действия пароля учетной записи можно воспользоваться следующей командой:

ipa user-show susvengine --all --raw | grep krbPasswordExpiration
krbPasswordExpiration:  20251001120000Z

Значение поля krbPasswordExpiration соответствует дате и времени окончания срока действия пароля учетной записи.

В результате выполнения описанных выше действий добавлена сервисная учетная запись susvengine, определен пароль для учетной записи и установлен срок окончания действия пароля.

Создание профиля подключения к службе каталогов LDAP сервера IPA с помощью веб-интерфейса СУСВ

Для настройки профиля подключения СУСВ к службе каталогов LDAP сервера IPA с помощью веб-интерфейса используется плагин "Мастер настройки LDAP", расположенный в административной панели СУСВ в секции "Дополнения" (рисунок 94).

Для начала работы с "Мастером настройки LDAP" нажмите на кнопку Начать.

Рисунок 94 – Мастер настройки LDAP в административной панели СУСВ

Для настройки подключения к серверу IPA выберите (рисунок 95):

  • Тип LDAP ‒ IPA.
  • Использовать DNS ‒ нет.
  • Доступный метод политики ‒ Один сервер.

Рисунок 95 – Выбор типа LDAP сервера, использования DNS и политик использования

Далее введите IP-адрес хоста сервера IPA и используемый протокол (по умолчанию используется plain) (рисунок 96).

Рисунок 96 – Ввод IP-адреса хоста и типа используемого LDAP протокола

Нажмите кнопку Далее для перехода на следующий экран "Мастера настройки LDAP" (рисунок 97).

Рисунок 97 – Форма "Ввод учетных данных и базового DN" Мастера настройки LDAP

Введите DN для учетной записи susvengine, созданной ранее (рисунок 98).

Рисунок 98 – Ввод DN сервисной учетной записи

В примере выше DN определяется как:

dn: uid=susvengine,cn=users,cn=compat,dc=rosa,dc=lan

Для получения параметров DN в вашем конкретном случае можно использовать команду ldapsearch в консоли сервера IPA:

ldapsearch -x uid=susvengine | grep dn
dn: uid=susvengine,cn=users,cn=compat,dc=rosa,dc=lan
dn: uid=susvengine,cn=users,cn=accounts,dc=rosa,dc=lan

Для интеграции с СУСВ надо использовать первое значение DN (которое включает "cn=compat").

В секции 2 введите пароль сервисной учетной записи, а в секции 3 ‒ параметры настроенного домена (в примере ‒ dc=rosa,dc=lan) (рисунок 99).

Рисунок 99 – Ввод пароля сервисной учетной записи и параметров домена

В пункте - Failover between multiple hosts введите "Да", в пункте 5 укажите имя профиля сервера LDAP, который будет виден пользователям при входе на Портал администрирования или Портал виртуальных машин, например RV (рисунок 100).

Рисунок 100 – Настройка единого входа и имени профиля сервера LDAP

Затем нажмите на кнопку Далее для перехода в форму "Тестирование и конфигурации" (рисунок 101).

Рисунок 101 – Тестирование конфигурации LDAP

В форме тестирования конфигурации введите тестовую последовательность для выполнения (секция 1) ‒ "Войти", имя пользователя сервисной учетной записи (в примере ‒ susvengine) и пароль пользователя (рисунок 101).

Далее нажмите на кнопку Отправить.

Если все действия были выполнены корректно, и логин/пароль соответствуют, то на экране появится подтверждение успешности выполненного входа (рисунок 102).

Рисунок 102 – Вход выполнен успешно

Выберите в секции 1 последовательность для выполнения "Готово" и нажмите на кнопку Далее (рисунок 103).

Рисунок 103 – Завершение тестирования конфигурации LDAP

На последнем экране "Мастера настройки LDAP" отображается настроенная конфигурация.

Нажмите на кнопку Завершить для завершения настройки конфигурации LDAP (рисунок 104).

Рисунок 104 – Обзор конфигурации настройки интеграции с LDAP сервером

Создание профиля подключения к службе каталогов LDAP сервера IPA с помощью командной строки

Настройка подключения ROSA Virtualization к службе каталогов LDAP сервера IPA c помощью командной строки осуществляется утилитой ovirt-engine-extension-aaa-ldap-setup в консоли СУСВ.

Примечание – Если вы уже настроили интеграцию с LDAP сервером с помощью веб-интерфейса и "Мастера настройки LDAP", то данную секцию вы можете пропустить.

Примечание – Для подключения к консоли СУСВ по SSH выполните следующую команду с указанием доменного имени (например, ipa.rosa.lan) или IP-адреса ВМ СУСВ, а также пароля учетной записи суперпользователя root ВМ СУСВ при выводе на экран соответствующего запроса:

$ ssh root@ipa.rosa.lan
(root@ipa.rosa.lan) Password:

Запуск интерактивного сценария настройки подключения ROSA Virtualization к службе каталогов LDAP

Для запуска интерактивного сценария настройки и создания профиля подключения с целью идентификации и аутентификации доменных пользователей выполните в консоли СУСВ следующую команду:

ovirt-engine-extension-aaa-ldap-setup

Сценарий настройки предложит выбрать тип реализации сервера LDAP из пронумерованного списка. Для выбора сервера IPA введите цифру "6":

Available LDAP implementations:
1 - 389ds
2 - 389ds RFC-2307 Schema
3 - Active Directory
4 - IBM Security Directory Server
5 - IBM Security Directory Server RFC-2307 Schema
6 - IPA
7 - Novell eDirectory RFC-2307 Schema
8 - OpenLDAP RFC-2307 Schema
9 - OpenLDAP Standard Schema
10 - Oracle Unified Directory RFC-2307 Schema
11 - RFC-2307 Schema (Generic)
12 - RHDS
13 - RHDS RFC-2307 Schema
14 - iPlanet
Please select: 6

Далее сценарий настройки предложит использовать разрешение имени DNS для сервера IPA:

  • Если в сети используется сервер DNS, нажмите клавишу Enter или введите "Yes".
  • При отсутствии в сети сервера DNS введите "No":
Use DNS (Yes, No) [Yes]: No

Примечание – При отсутствии в сети сервера DNS доменные имена и IP-адреса хостов, СУСВ и сервера IPA должны быть указаны в файле /etc/hosts сервера IPA, а также на хостах ROSA Virtualization и СУСВ. Отредактируйте файл /etc/hosts на каждом из перечисленных выше хостов и серверов, указав актуальные доменные имена и IP-адреса.

Из пронумерованного списка выберите метод реализации политики службы DNS. При выборе варианта 1 (Single server) введите IP-адрес сервера IPA:

Available policy method:
1 - Single server
2 - DNS domain LDAP SRV record
3 - Round-robin between multiple hosts
4 - Failover between multiple hosts
Please select: 1
Please enter host address: 10.10.20.8

Примечание – Указанный в выводе консоли выше IP-адрес 10.10.20.8 является примером, необходимо указать IP-адрес, соответствующий серверу IPA, установленному в вашем ЦОД.

Далее сценарий настройки предложит выбрать протокол подключения к каталогу LDAP, а также указать отличительное имя и пароль пользователя для выполнения запросов поиска в каталоге LDAP. Введите значение "plain" для выбора протокола и следующие атрибуты ранее созданной служебной записи пользователя:

Please select protocol to use (startTLS, ldaps, plain) [startTLS]:
plain
Enter search user DN (for example uid=username,dc=example,dc=com or leave empty for anonymous):
uid=susvengine,cn=users,cn=compat,dc=rosa,dc=lan
Enter search user password:

Примечание – Пример выше предполагает, что на сервере IPA, управляющим доменом rosa.lan, была создана служебная учетная запись susvengine с отличительным именем (dn) ‒ uid=susvengine,cn=users,cn=compat,dc=rosa,dc=lan.

Отличительное имя (уникальное имя) dn – это имя, уникальным образом идентифицирующее каждую запись каталога LDAP. При вводе параметров в сценарий установки используйте отличительное имя служебной учетной записи, созданной ранее на сервере IPA для выполнения синхронизации с ROSA Virtualization.

Для проверки корректности указанного отличительного имени dn используйте на сервере IPA в командной строке следующую команду:

ipa user-show engine --all --raw | grep dn:
dn: uid=susvengine,cn=users,cn=accounts,dc=rosa,dc=lan

Далее сценарий настройки предложит определенные значения по умолчанию для следующих параметров:

Please enter base DN (dc=rosa,dc=lan) [dc=rosa,dc=lan]:
Are you going to use Single Sign-On for Virtual Machines (Yes, No) [Yes]:

Чтобы принять предложенные значения по умолчанию, нажмите клавишу Enter.

Сценарий настройки предложит указать имя для профиля подключения. Введите наименование профиля (например, RV):

Please specify profile name that will be visible to users: RV

Примечание – Данный профиль будет использоваться для входа в Портал администрирования и Портал ВМ ROSA Virtualization (рисунок 105).

Для тестовой проверки подключения укажите имя и пароль ранее созданной служебной записи пользователя (в примере ниже учетная запись имеет имя susvengine):

Please provide credentials to test login flow
Enter user name: susvengine
Enter user password:

Сценарий настройки приступит к созданию профиля подключения в соответствии с заданной конфигурацией.

Перезагрузка службы ovirt-engine

После завершения процедуры создания профиля выполните перезагрузку службы ovirt-engine:

# systemctl restart ovirt-engine

В результате созданный профиль подключения RV станет доступен для выбора в окне авторизации при входе на Портал администрирования СУСВ (рисунок 105) или на Портал ВМ.

Вход в портал администрирования и портал ВМ с использованием логина и пароля корпоративного LDAP сервера

Откройте в новом окне браузера форму входа на Портал администрирования или Портал виртуальных машин и выберите Портал администрирования (для учетной записи администратора) или Портал виртуальных машин (для учетной записи пользователя).

В выпадающем меню "Профиль" выберите домен авторизации, настроенный при конфигурировании доступа к серверу LDAP. В полях "Имя пользователя" и "Пароль" укажите логин и пароль учетной записи пользователя, настроенной в корпоративном LDAP-сервере (контроллере домена). Далее нажмите на копку Вход в систему (рисунок 105). При наличии у пользователя соответствующих прав будет осуществлен вход в портал.

Рисунок 105 – Выбор профиля подключения RV в окне авторизации при входе на портал администрирования СУСВ

Предоставление прав доступа к ресурсам ROSA Virtualization для пользователей сервера IPA

Назначение необходимых прав доступа к ресурсам ROSA Virtualization для новых созданных пользователей сервера IPA осуществляется на Портале администрирования СУСВ.

Для доступа к списку пользователей выберите пункт "Администрирование → Пользователи" в главном меню СУСВ (рисунок 106).

Рисунок 106 – Раздел "Администрирование → Пользователи" в главном меню панели администрирования СУСВ

На странице "Администрирование → Пользователи" отображается список пользователей, авторизованных для работы с Платформой виртуализации ROSA Virtualization (рисунок 107).

Рисунок 107 – Список пользователей, авторизованных для работы с Платформой виртуализации ROSA Virtualization

Для добавления пользователя нажмите на кнопку Добавить.

Введите в форму логин пользователя, принадлежащего пространству имён присоединенного домена, и нажмите на кнопку Вперед (рисунок 108).

Рисунок 108 – Добавление пользователя из корпоративного каталога LDAP

Выберите необходимого пользователя и нажмите на кнопку Добавить и закрыть (рисунок 109).

Рисунок 109 – Поиск пользователя домена по логину

Пользователь будет добавлен к списку пользователей, авторизованных для работы с Платформой ROSA Virtualization (рисунок 110).

Рисунок 110 ‒ Обновленный список пользователей Платформы

Далее необходимо предоставить пользователю права на доступ к конкретным ресурсам.

Для предоставления прав доступа нажмите на логин пользователя в списке (рисунок 110). Откроется форма с информацией о данном пользователе (рисунок 111).

Рисунок 111 ‒ Информация о пользователе a.ivanov

Перейдите на вкладку "Права доступа".

Нажмите на кнопку Добавить системные полномочия (рисунок 112).

Рисунок 112 – Права доступа пользователя

Выберите требуемые полномочия, например для опытного пользователя можно выбрать PowerUserRole (пользователь с расширенными полномочиями) (рисунок 113).

Рисунок 113 – Добавление системных полномочий

Присвоение роли PowerUserRole осуществляется во вкладке "Права доступа" (рисунок 114).

Рисунок 114 – Добавление системных прав пользователю

После выбора необходимых прав нажмите на кнопку ОК для добавления указанных прав и полномочий (рисунок 115).

Рисунок 115 – Добавление выбранных прав пользователю

Выбранные права появятся в списке прав пользователя (рисунок 116).

Рисунок 116 – Обновленный список прав пользователя

Войдите с помощью аккаунта пользователя, которому были выше добавлены права, в Портал ВМ.

Вход будет успешно осуществлен, и пользователь увидит интерфейс Портала ВМ для запуска и создания ВМ (рисунок 117).

Рисунок 117 – Интерфейс Портала ВМ, доступный пользователю с правами PowerUser

Нажмите на кнопку Создать виртуальную машину (рисунок 117).

Откроется интерфейс для создания ВМ (доступно пользователю с ролью PowerUser) (рисунок 118).

Рисунок 118 – Интерфейс создания ВМ для пользователя с ролью PowerUser

При необходимости повторите операцию по добавлению пользователей и наделению их правами для других пользователей, зарегистрированных на корпоративном LDAP сервере.