oVirt. все статьи цикла
На мой взгляд это довольно важный пункт, если речь идет о платформе уровня предприятия. К счастью, oVirt может похвастаться поддержкой нескольких сторонних LDAP-каталогов. Минусами здесь являются не самая удобная реализация и отсутствие документации на эту тему. Неудобство выражается в том, что для настройки авторизации в LDAP-каталоге необходимо лезть в консоль, тогда как в других аналогичных платформах это реализовано в интерфейсе управления.
Подключение LDAP-каталога
Прежде чем выполнить подключение, необходимо создать пользователя (например ovirtadmin) в LDAP-каталоге от имени которого Engine будет взаимодействовать с ним.
Примечание: Если это Active Directory, то в идеале необходимы права на ввод компьютеров в домен. Пользователь не должен находиться в контейнере Builtin.
Далее необходимо войти в консоль сервера Engine и выполнить следующую команду (соответственно подставив свои данные):
engine-manage-domains add --domain='mydomain.com' --provider=ad --user='ovirtadmin@mydomain.com'
В зависимости от используемого LDAP-каталога необходимо изменить параметр —provider. Поддерживаются следующие значения — каталоги:
ad Microsoft Active Directory
ipa freeIPA[8]
rhds Red Hat Directory Server
itds IBM Tivoli Directory Server
oldap OpenLDAP
Далее будет предложено ввести пароль указанного пользователя. Если все сделано правильно, то будет сообщено о добавлении нового источника авторизации и предложено перезагрузить службу ovirt-engine.
service ovirt-engine restart
Добавление пользователей происходит очень просто. Каждый объект начиная от дата-центра заканчивая шаблоном ВМ имеет среди прочего вкладку Permmision. Теперь там появится возможность добавлять пользователей из подключенного домена и назначать им роли. При входе в веб-консоль так же будет доступен новый домен и вход для его пользователей.
Помогла ли вам статья?
