Настройка аутентификации для управления окружениями в libvirt |
[исправить] |
Настройка SASL DIGEST-MD5 аутентификации в libvirt для управления удаленными
виртуальными окружениями
в недоверительной сети. Для шифрования передаваемого трафика можно использовать TLS.
Добавляем пользователя virt в SASL базу:
saslpasswd2 -a libvirt virt
Password:
Again (for verification):
Через опцию "-a" передаем имя приложения для привязки пользователя к нему.
Утилита saslpasswd2 входит в состав пакета cyrus-admin.
Для просмотра списка пользователей из SASL базы libvirt выполняем:
sasldblistusers2 -f /etc/libvirt/passwd.db
Включаем механизм digest-md5 в /etc/sasl2/libvirt.conf:
# Default to a simple username+password mechanism
mech_list: digest-md5
В настойках /etc/libvirt/libvirtd.conf разрешаем только SASL аутентификацию, при использовании TCP
для соединения необходимо поменять схему через директиву аутентификации auth_tcp:
auth_tcp = "sasl"
Но более правильно, чтобы не передавать пароли и другую важную информацию
открытым текстом, использовать в качестве транспорта TLS, через определение
директивы auth_tls:
auth_tls = "sasl"
Далее для TLS нужно сгенерирвать серверные и клиентские сертификаты, о создании
которых рассказано здесь http://libvirt.org/remote.html
После активации SASL, для каждой операции libvirt будет запрошен логин и пароль.
$ virsh
virsh # migrate --live kvmnode2 qemu+tls://disarm/system
Please enter your authentication name:virt
Please enter your password:
|
|
|
|
Раздел: Корень / Безопасность / Виртуализация - Xen, OpenVZ, KVM, Qemu |