The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Настройка аутентификации для управления окружениями в libvirt
Настройка SASL DIGEST-MD5 аутентификации в libvirt для управления удаленными
виртуальными окружениями
в недоверительной сети. Для шифрования передаваемого трафика можно использовать TLS.

Добавляем пользователя virt в SASL базу:

   saslpasswd2 -a libvirt virt
   Password:
   Again (for verification):

Через опцию "-a" передаем имя приложения для привязки пользователя к нему. 
Утилита saslpasswd2 входит в состав пакета cyrus-admin.

Для просмотра списка пользователей из SASL базы libvirt выполняем:

   sasldblistusers2 -f /etc/libvirt/passwd.db

Включаем механизм digest-md5 в /etc/sasl2/libvirt.conf:

   # Default to a simple username+password mechanism
   mech_list: digest-md5

В настойках /etc/libvirt/libvirtd.conf разрешаем только SASL аутентификацию, при использовании TCP 
для соединения необходимо поменять схему через директиву аутентификации auth_tcp:

   auth_tcp = "sasl"

Но более правильно, чтобы не передавать пароли и другую важную информацию
открытым текстом, использовать в качестве транспорта TLS, через определение
директивы auth_tls:

   auth_tls = "sasl"

Далее для TLS нужно сгенерирвать серверные и клиентские сертификаты, о создании
которых рассказано здесь http://libvirt.org/remote.html


После активации SASL, для каждой операции libvirt будет запрошен логин и пароль.

   $ virsh

   virsh # migrate --live kvmnode2 qemu+tls://disarm/system
   Please enter your authentication name:virt
   Please enter your password:
 
22.06.2009 , Источник: http://prefetch.net/blog/index.php/...
Ключи: sasl, tlc, libvirt, virtual / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Виртуализация - Xen, OpenVZ, KVM, Qemu

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру