Добрый день, коллеги.
Сегодня мы рассмотрим процедуру интеграции oVirt 3.5 c Microsoft Active Directory.
Делается это достаточно просто, но требует некоторых подготовительных мероприятий:
У меня в лаборатории существуют два отдельных домена DNS: ROSA.DEMO на BIND и TARGET.COM на MS-DNS. Для разрешения имён я настроил Conditional Forwarding и Stub-zone на BIND (не совсем рекомендованный способ, но было интересно);
ПРИМЕЧAНИЕ! При настройке лаборатории я не придерживался какого-то формального Best Practice по Linux (лучше ограничивать доступ к внутренним DNS серверам доверенными сетями).
Требование к синхронизации времени
Вопрос легко решаются с помощью централизованного NTP сервера. От себя добавлю, что первые попытки интеграции провалились по причине разницы во времени и часового пояса.
Необходимо обращать внимание:
ПРИМЕЧАНИЕ! Кстати, мой стенд, в виртуальной его части (3 сервера RELS с ролями BIND, IPA, OVIRT и 1 контроллер домена на MS Windows Server) собран полностью на Hyper-V 2012 R2, плюс несколько физических серверов под RELS 6.6
Требования к сервисной учётной записи следующие:
Интеграция
Собственно, сабж. выполняем интеграцию с помощью команды "engine-manage-domains add", как на скриншоте ниже.
Затем перезапускаем сервис ovirt-engine.
Предыдущие статьи цикла
Установка системы управления виртуализацией Ovirt 3.5 в доменной среде IPA на базе ROSA Enterprise Server 6.6
Отказоустойчивая виртуализация на базе Ovirt 3.5
Сегодня мы рассмотрим процедуру интеграции oVirt 3.5 c Microsoft Active Directory.
Делается это достаточно просто, но требует некоторых подготовительных мероприятий:
- Необходимо обеспечить возможность разрешения DNS имён (A, PTR, SRV записей) сервером oVirt 3.5 и контроллером домена;
- Сервер oVirt и контроллер домена должны иметь одинаковое время (т.к. используется Kerberos);
- необходимо выполнить предварительные требования для сервисной учётной записи oVirt;
У меня в лаборатории существуют два отдельных домена DNS: ROSA.DEMO на BIND и TARGET.COM на MS-DNS. Для разрешения имён я настроил Conditional Forwarding и Stub-zone на BIND (не совсем рекомендованный способ, но было интересно);
ПРИМЕЧAНИЕ! При настройке лаборатории я не придерживался какого-то формального Best Practice по Linux (лучше ограничивать доступ к внутренним DNS серверам доверенными сетями).
Узлы должны успешно разрешать помимо А-записей:- pointer record (PTR) for the directory server's reverse look-up address.
- service record (SRV) for LDAP over TCP port 389
- service record (SRV) for Kerberos over TCP port 88
- service record (SRV) for Kerberos over UDP port 88
Требование к синхронизации времени
Вопрос легко решаются с помощью централизованного NTP сервера. От себя добавлю, что первые попытки интеграции провалились по причине разницы во времени и часового пояса.
Необходимо обращать внимание:
- на формат данных времени и часового пояса;
- часовой пояс;
- функционал автоматической смены летнего/зимнего времени (может добавить +\- 1 час к текущему времени) .
ПРИМЕЧАНИЕ! Кстати, мой стенд, в виртуальной его части (3 сервера RELS с ролями BIND, IPA, OVIRT и 1 контроллер домена на MS Windows Server) собран полностью на Hyper-V 2012 R2, плюс несколько физических серверов под RELS 6.6
Требования к сервисной учётной записи следующие:
- Read Access to Directory Services
- Join a computer to the domain
- Modify the membership of a group
Интеграция
Собственно, сабж. выполняем интеграцию с помощью команды "engine-manage-domains add", как на скриншоте ниже.
Затем перезапускаем сервис ovirt-engine.
Собственно, результат смотрим ниже.
Предыдущие статьи цикла
Установка системы управления виртуализацией Ovirt 3.5 в доменной среде IPA на базе ROSA Enterprise Server 6.6
Отказоустойчивая виртуализация на базе Ovirt 3.5
Комментариев нет:
Отправить комментарий
Уважаемый коллега, Ваш комментарий пройдёт модерацию, чтобы избежать спам-атак в ленте. Спасибо за понимание.