oVirt часть 7. Интеграция с LDAP

oVirt. все статьи цикла

На мой взгляд это довольно важный пункт, если речь идет о платформе уровня предприятия. К счастью, oVirt может похвастаться поддержкой нескольких сторонних LDAP-каталогов. Минусами здесь являются не самая удобная реализация и отсутствие документации на эту тему. Неудобство выражается в том, что для настройки авторизации в LDAP-каталоге необходимо лезть в консоль, тогда как в других аналогичных платформах это реализовано в интерфейсе управления.

Подключение LDAP-каталога

Прежде чем выполнить подключение, необходимо создать пользователя (например ovirtadmin) в LDAP-каталоге от имени которого Engine будет взаимодействовать с ним.

Примечание: Если это Active Directory, то в идеале необходимы права на ввод компьютеров в домен. Пользователь не должен находиться в контейнере Builtin.

Далее необходимо войти в консоль сервера Engine и выполнить следующую команду (соответственно подставив свои данные):

engine-manage-domains add --domain='mydomain.com' --provider=ad --user='ovirtadmin@mydomain.com'

В зависимости от используемого LDAP-каталога необходимо изменить параметр —provider. Поддерживаются следующие значения — каталоги:

ad Microsoft Active Directory
ipa freeIPA[8]
rhds Red Hat Directory Server
itds IBM Tivoli Directory Server
oldap OpenLDAP

Далее будет предложено ввести пароль указанного пользователя. Если все сделано правильно, то будет сообщено о добавлении нового источника авторизации и предложено перезагрузить службу ovirt-engine.

service ovirt-engine restart

Добавление пользователей происходит очень просто. Каждый объект начиная от дата-центра заканчивая шаблоном ВМ имеет среди прочего вкладку Permmision. Теперь там появится возможность добавлять пользователей из подключенного домена и назначать им роли. При входе в веб-консоль так же будет доступен новый домен и вход для его пользователей.