вторник, 8 сентября 2015 г.

Интеграция oVirt 3.5 с Microsoft Active Directory

Добрый день, коллеги.
Сегодня мы рассмотрим процедуру интеграции oVirt 3.5 c Microsoft Active Directory.

Делается это достаточно просто, но требует некоторых подготовительных мероприятий:
  • Необходимо обеспечить возможность разрешения DNS имён (A, PTR, SRV записей) сервером oVirt 3.5 и контроллером домена;
  • Сервер oVirt и контроллер домена должны иметь одинаковое время (т.к. используется Kerberos);
  • необходимо выполнить предварительные требования для сервисной учётной записи oVirt;
Разрешение имён

У меня в лаборатории существуют два отдельных домена DNS: ROSA.DEMO на BIND и TARGET.COM на MS-DNS. Для разрешения имён я настроил Conditional Forwarding и Stub-zone на BIND (не совсем рекомендованный способ, но было интересно);

ПРИМЕЧAНИЕ! При настройке лаборатории я не придерживался какого-то формального Best Practice по Linux (лучше ограничивать доступ к внутренним DNS серверам доверенными сетями).



 

Узлы должны успешно разрешать помимо А-записей:
  • pointer record (PTR) for the directory server's reverse look-up address.
  • service record (SRV) for LDAP over TCP port 389
  • service record (SRV) for Kerberos over TCP port 88
  • service record (SRV) for Kerberos over UDP port  88

Требование к синхронизации времени

Вопрос легко решаются с помощью централизованного NTP сервера. От себя добавлю, что первые попытки интеграции провалились по причине разницы во времени и часового пояса.
Необходимо обращать внимание:
  • на формат данных времени и часового пояса;
  • часовой пояс;
  • функционал автоматической смены летнего/зимнего времени (может добавить +\- 1 час к текущему времени) .
Так же, рекомендую отключать компонент синхронизации времени виртуальных машин с хостом и для контроллера домена, и для виртуального сервера oVirt 3.5

ПРИМЕЧАНИЕ! Кстати, мой стенд, в виртуальной его части (3 сервера RELS с ролями BIND, IPA, OVIRT и 1 контроллер домена на MS Windows Server) собран полностью на Hyper-V 2012 R2, плюс несколько физических серверов под RELS 6.6


Требования к сервисной учётной записи следующие:
  • Read Access to Directory Services
  • Join a computer to the domain
  • Modify the membership of a group

Интеграция

Собственно, сабж. выполняем интеграцию с помощью команды "engine-manage-domains add", как на скриншоте ниже.

Затем перезапускаем сервис ovirt-engine.

 
Собственно, результат смотрим ниже.
 

 


Предыдущие статьи цикла

Установка системы управления виртуализацией Ovirt 3.5 в доменной среде IPA на базе ROSA Enterprise Server 6.6
Отказоустойчивая виртуализация на базе Ovirt 3.5

Комментариев нет:

Отправить комментарий

Уважаемый коллега, Ваш комментарий пройдёт модерацию, чтобы избежать спам-атак в ленте. Спасибо за понимание.