Настройка SASL DIGEST-MD5 аутентификации в libvirt для управления удаленными
виртуальными окружениями
в недоверительной сети. Для шифрования передаваемого трафика можно использовать TLS.

Добавляем пользователя virt в SASL базу:

   saslpasswd2 -a libvirt virt
   Password:
   Again (for verification):

Через опцию "-a" передаем имя приложения для привязки пользователя к нему. 
Утилита saslpasswd2 входит в состав пакета cyrus-admin.

Для просмотра списка пользователей из SASL базы libvirt выполняем:

   sasldblistusers2 -f /etc/libvirt/passwd.db

Включаем механизм digest-md5 в /etc/sasl2/libvirt.conf:

   # Default to a simple username+password mechanism
   mech_list: digest-md5

В настойках /etc/libvirt/libvirtd.conf разрешаем только SASL аутентификацию, при использовании TCP 
для соединения необходимо поменять схему через директиву аутентификации auth_tcp:

   auth_tcp = "sasl"

Но более правильно, чтобы не передавать пароли и другую важную информацию
открытым текстом, использовать в качестве транспорта TLS, через определение
директивы auth_tls:

   auth_tls = "sasl"

Далее для TLS нужно сгенерирвать серверные и клиентские сертификаты, о создании
которых рассказано здесь http://libvirt.org/remote.html


После активации SASL, для каждой операции libvirt будет запрошен логин и пароль.

   $ virsh

   virsh # migrate --live kvmnode2 qemu+tls://disarm/system
   Please enter your authentication name:virt
   Please enter your password: