グローバル構成

2 グローバル構成

Oracle Linux Virtualization Managerの場合、グローバル構成オプションは「構成」ダイアログ・ボックスで設定します。このダイアログ・ボックスにアクセスするには、「管理」を選択してから「構成」をクリックします。「構成」ダイアログ・ボックスでは、ユーザー、ロール、システム権限、スケジュール・ポリシー、インスタンス・タイプ、MACアドレス・プールなど、仮想化環境のグローバル・リソースを数多く構成できます。ユーザーが環境内のリソースと対話する方法をカスタマイズしたり、中央の場所から複数のクラスタに適用できるオプションを構成したりすることもできます。

管理ポータルからのユーザー・アカウントの管理

次のタスクは、管理ポータルで実行される一般的なユーザー管理タスクを説明したものです。

ユーザーへのVMポータル権限の追加

ユーザーを追加してユーザーにロールと権限を割り当てる前に、ユーザーを作成しておく必要があります。詳細は、「コマンドラインでのユーザーおよびグループ・アカウントの管理」を参照してください。

次の手順の例では、ユーザーにUserRoleと関連付けられたロールと権限が割り当てられています。このロールは、ユーザーにVMポータルへのログインして仮想マシンの作成を開始する権限を付与します。この手順はグループ・アカウントにも適用されます。

「管理」をクリックしてから、「構成」を選択します。

「構成」ダイアログ・ボックスが開き、サイドバー・メニューで「ロール」タブが選択されます。
サイドバーのシステム権限タブをクリックします。
「追加」をクリックします。

ユーザーへのシステム権限の追加ダイアログ・ボックスが開きます。
「検索」ドロップダウン・リストからプロファイルを選択し、「実行」をクリックします。
ユーザー・アカウントまたはグループ・アカウントの横のチェック・ボックスを選択します。
割り当てるロールドロップダウン・リストで、UserRoleを選択します。
「OK」をクリックします。
(オプション) VMポータルにログインして、ユーザー・アカウントの権限を確認します。

ユーザーおよびグループの削除

管理ポータルを使用してユーザーまたはグループを削除するには:

「管理」に移動して「ユーザー」をクリックします。

「ユーザー」ペインが開きます。
「ユーザー」ペインで、「ユーザー」タブまたは「グループ」タブのいずれかを選択して、追加したユーザーまたはグループを表示します。
削除するユーザーまたはグループを選択します。
「削除」をクリックします。

「ユーザーの削除」ダイアログ・ボックスが開きます。
「OK」をクリックして、ユーザーの削除を確定します。

ユーザーまたはグループが削除され、「ユーザー」ペインに表示されなくなります。

ユーザーおよびグループへの権限の割当て

ユーザーおよびグループにロールと権限を割り当てる前に、これらのユーザーおよびグループを作成しておく必要があります。詳細は、「コマンドラインでのユーザーおよびグループ・アカウントの管理」を参照してください。

「管理」に移動して「ユーザー」をクリックします。

「ユーザー」ペインが開きます。
「追加」をクリックします。

「ユーザーとグループの追加」ダイアログ・ボックスが開きます。
「ユーザー」オプションのいずれかを選択します。
「検索」フィールドで、追加するユーザーまたはグループの名前を入力し、「実行」を選択します。

ダイアログ・ボックスが更新され、検索結果が表示されます。
追加するユーザーまたはグループの横のチェック・ボックスを選択します。
「追加」をクリックします。

ユーザーまたはグループが追加され、「ユーザー」ペインに表示されます。
「ユーザー」ペインで、「ユーザー」タブまたは「グループ」タブのいずれかを選択して、追加したユーザーまたはグループを表示します。
「ユーザー名」列の下のユーザー名、または「グループ名」列の下のグループ名をクリックして、ユーザーまたはグループの詳細ビューを表示します。
「アクセス権」タブをクリックします。
「システム権限の追加」をクリックします。

ユーザーへのシステム権限の追加ダイアログ・ボックスが開きます。
ユーザーへのシステム権限の追加ドロップダウン・リストから、ユーザーに割り当てるロールを選択します。

カスタム・ロールの作成

Managerが提供するデフォルトのロール・セットから使用できないロールが必要な場合は、カスタム・ロールを作成できます。

ノート:

Managerによって提供されるデフォルトのロール・セットの詳細は、「oVirtドキュメント」の「管理ガイド」を参照してください。

カスタム・ロールを作成するには:

「管理」をクリックしてから、「構成」を選択します。

「構成」ダイアログ・ボックスが開き、サイドバー・メニューで「ロール」タブが選択されます。「ロール」タブには、管理者ロールとユーザー・ロール、および作成されたカスタム・ロールのリストが表示されます。
「新規」をクリックします。

「新規ロール」ダイアログ・ボックスが表示されます。
「名前」フィールドおよび「説明」フィールドに、ロールの適切な名前と説明を入力します。
「アカウント・タイプ」で、「管理」または「ユーザー」のいずれかを選択します。
アクションを許可するボックスをチェックで、ユーザーに権限を割り当てる適切なオブジェクトを選択します。

各権限グループの下にあるオブジェクトを表示するには、すべて開くをクリックします。各権限グループのオブジェクトのリストを閉じるには、すべて閉じるをクリックします。
各オブジェクトで、作成するカスタム・ロールに対して許可または拒否されるアクションを選択するか選択を解除します。
「OK」をクリックしてカスタム・ロールを作成します。

カスタム・ロールが「ロール」タブに表示されます。

コマンドラインでのユーザーおよびグループ・アカウントの管理

次の各項では、ovirt-aaa-jdbc-toolコマンド・ユーティリティを使用してユーザー・アカウントを管理するために実行できる一般的なタスクについて説明します。このユーティリティは、内部ドメインでユーザー・アカウントおよびグループ・アカウントを管理するために使用します。ユーザーおよびグループ・アカウントを管理するために使用可能なすべてのオプションのリストを表示するには、ovirt-aaa-jdbc-tool --helpコマンドを実行します。

ノート:

ovirt-aaa-jdbc-toolコマンド・ユーティリティを使用して行われた変更は即時に有効になり、Managerを再起動する必要はありません。

新規ユーザー・アカウントの作成

ovirt-aaa-jdbc-tool user addコマンドは、ユーザー・アカウントの作成に使用されます。

新しいユーザー・アカウントを作成するには:

Managerを実行しているホストにログインします。
新しいユーザー・アカウントを作成します。
```
ovirt-aaa-jdbc-tool user add username option
```
ユーザー・アカウントの作成に使用可能なオプションの完全なリストを表示するには、ovirt-aaa-jdbc-tool user add --helpコマンドを実行します。

次の例は、新しいユーザー・アカウントを作成し、アカウントに関連付ける姓と名を追加する方法を示しています。
```
# ovirt-aaa-jdbc-tool user add test1 --attribute=firstName=John --attribute=lastName=Doe
adding user test1...
user added successfully
Note: by default created user cannot log in. see:
/usr/bin/ovirt-aaa-jdbc-tool user password-reset --help.
```
ノート:

新しいユーザー・アカウントを作成した後、ユーザーがログインできるようにパスワードを設定する必要があります。「ユーザー・アカウントのパスワードの設定」を参照してください。
新しく作成したユーザーを管理ポータルに追加し、そのグループに適切なロールと権限を割り当てます。「ユーザーおよびグループへの権限の割当て」を参照してください。

ユーザー・アカウントのパスワードの設定

ovirt-aaa-jdbc-tool password-resetコマンドは、ユーザー・アカウントのパスワードを設定(またはリセット)するために使用します。

ユーザー・アカウントのパスワードを設定(またはリセット)するには:

Managerを実行しているホストにログインします。
ユーザー・アカウントのパスワードを設定(またはリセット)します。
```
ovirt-aaa-jdbc-tool user password-reset username --password-valid-to yyyy-MM-dd HH:mm:ssX
```
ノート:

--password-valid-toオプションの値を設定する必要があります。設定しない場合、パスワードの有効期限はデフォルトでは最終ログイン時刻に設定されます。
デフォルトでは、内部ドメインのユーザー・アカウントのパスワード・ポリシーには次の制限があります。
- ユーザー・パスワードの最小長は6文字です。
- パスワードをリセットする場合、そのユーザー・アカウントに使用された過去の3つのパスワードは使用できません。
パスワード・ポリシーおよびその他のデフォルト設定の詳細は、ovirt-aaa-jdbc-tool settings showコマンドを実行してください。

次の例は、ユーザー・パスワードを設定する方法を示しています。この例で、0800はGMTから8を引いた時間を表します。
```
# ovirt-aaa-jdbc-tool user password-reset test1 --password-valid-to="2025-08-01 12:00:00-0800"
Password:
Reenter password:
updating user test1...
user updated successfully
```

ユーザー情報の編集

ovirt-aaa-jdbc-tool user editコマンドは、ユーザー・アカウントに関連付けられたユーザー情報を編集するために使用します。

ユーザー情報を編集するには:

Managerを実行しているホストにログインします。
ユーザー・アカウントを編集します。
```
ovirt-aaa-jdbc-tool user edit username option
```
ユーザー情報の編集に使用できるオプションの完全なリストを表示するには、ovirt-aaa-jdbc-tool user edit --helpコマンドを実行します。

次の例では、このユーザーに関連付けるEメール・アドレスを追加してユーザー・アカウントを編集する方法を示しています。
```
# ovirt-aaa-jdbc-tool user edit test1 --attribute=email=jdoe@example.com
updating user test1...
user updated successfully
```

ユーザー情報の表示

ovirt-aaa-jdbc-tool user showコマンドを使用して、ユーザー情報を表示します。

詳細なユーザー情報を表示するには:

Managerを実行しているホストにログインします。

ユーザーに関する情報を表示します。

ovirt-aaa-jdbc-tool user show username

次の例は、ユーザー・アカウントに関する詳細を表示する方法を示したものです。

# ovirt-aaa-jdbc-tool user show test1
-- User test1(e9e4b7d0-8ffd-45a3-b6ea-1f519238e766) --
Namespace: *
Name: test1
ID: e9e4b7d0-8ffd-45a3-b6ea-1f519238e766
Display Name:
Email: jdoe@example.com
First Name: John
Last Name: Doe
Department:
Title:
Description:
Account Disabled: false
Account Locked: false
Account Unlocked At: 1970-01-01 00:00:00Z
Account Valid From: 2019-08-26 18:59:16Z
Account Valid To: 2219-08-26 18:59:16Z
Account Without Password: false
Last successful Login At: 2019-08-27 15:21:20Z
Last unsuccessful Login At: 2019-08-27 15:20:59Z
Password Valid To: 2025-08-01 20:00:00Z

ユーザーの削除

ovirt-aaa-jdbc-tool user deleteコマンドは、ユーザーを削除するために使用します。

ユーザー・アカウントを削除するには:

Managerを実行しているホストにログインします。

ユーザーを削除します。

ovirt-aaa-jdbc-tool user delete username

次の例は、ユーザー・アカウントを削除する方法を示しています。

# ovirt-aaa-jdbc-tool user delete test1
deleting user test1...
user deleted successfully

ユーザー・アカウントの無効化

engine-setupコマンドの実行時に作成された内部adminユーザーを含め、ローカル・ドメインでユーザーを無効にできます。

重要:

デフォルトの内部管理ユーザー・アカウント(adminユーザー)を無効にする前に、完全な管理権限のある少なくとも1人のユーザーが環境内に存在することを確認してください。 SuperUserロールは、ユーザーに完全な管理権限を付与します。

ユーザーを無効化するには:

Managerを実行しているホストにログインします。
ユーザーを無効にします。
```
ovirt-aaa-jdbc-tool user edit username --flag=+disabled
```
次の例は、adminユーザーを無効にする方法を示しています。
```
# ovirt-aaa-jdbc-tool user edit admin --flag=+disabled
updating user admin...
user updated successfully
```
ノート:

なんらかの理由で内部adminユーザーを無効にした後で再度有効にする必要がある場合、ovirt-aaa-jdbc-tool user edit admin --flag=-disabledコマンドを実行して有効にできます。

グループ・アカウントの作成

ovirt-aaa-jdbc-toolコマンドは、内部ドメインでグループ・アカウントを作成および管理するために使用します。グループ・アカウントの管理は、ユーザー・アカウントの管理と似ています。グループ・アカウントの管理に使用可能なすべてのオプションを表示するには、ovirt-aaa-jdbc-tool group --helpコマンドを実行します。このセクションには、一般的な例が示されています。

グループの作成

グループ・アカウントを作成するには:

Managerを実行しているホストにログインします。
新しいグループ・アカウントを作成します。
```
ovirt-aaa-jdbc-tool group add group-name
```
ノート:

ユーザーをグループに追加する前に、ユーザーを作成しておく必要があります。
次の例は、新しいグループ・アカウントを追加する方法を示しています。
```
# ovirt-aaa-jdbc-tool group add group1
adding group group1...
group added successfully
```
グループにユーザーを追加します。
```
ovirt-aaa-jdbc-tool group-manage  useradd group-name --user=username                
```
グループに対してメンバーを追加または削除するためのオプションの完全なリストを表示するには、ovirt-aaa-jdbc-tool group-manage --helpコマンドを実行します。
次の例は、ユーザーをグループに追加する方法を示しています。
```
# ovirt-aaa-jdbc-tool group-manage useradd group1 --user test1
updating user group1...
user updated successfully
```

グループ・アカウントの詳細を表示します。

ovirt-aaa-jdbc-tool group show group-name

次の例は、グループ・アカウントに関する詳細を表示する方法を示したものです。

# ovirt-aaa-jdbc-tool group show group1
-- Group group1(f23ca27c-1d6a-4f6e-8c3e-1e03e8e56829) --
Namespace: *
Name: group1
ID: f23ca27c-1d6a-4f6e-8c3e-1e03e8e56829
Display Name:
Description:

新しく作成したグループを管理ポータルに追加し、そのグループに適切なロールと権限を割り当てます。「ユーザーおよびグループへの権限の割当て」を参照してください。

グループ内のユーザーは、グループのロールおよび権限を継承します。

ネストされたグループの作成

ネストされたグループを作成するには:

Managerを実行しているホストにログインします。
1番目のグループ・アカウントを作成します。
```
ovirt-aaa-jdbc-tool group add group1                 
```
次の例は、新しいグループ・アカウントを追加する方法を示しています。
```
# ovirt-aaa-jdbc-tool group add group1
adding group group1...
group added successfully
```
2番目のグループ・アカウントを作成します。
```
ovirt-aaa-jdbc-tool group add group2
```
次の例は、2番目のグループ・アカウントを作成する方法を示しています。
```
# ovirt-aaa-jdbc-tool group add group2
adding group group2...
group added successfully
```

2番目のグループを1番目のグループに追加します。

ovirt-aaa-jdbc-tool group manage group add group1 --group=group2

次の例は、2番目のグループを1番目のグループに追加する方法を示しています。

# ovirt-aaa-jdbc-tool group-manage groupadd group1 --group=group2
updating group group1...
group updated successfully

1番目のグループを管理ポータルに追加し、そのグループに適切なロールと権限を割り当てます。「ユーザーおよびグループへの権限の割当て」を参照してください。

グループ・アカウントの削除

グループ・アカウントを削除するには:

Managerを実行しているホストにログインします。
グループ・アカウントを削除します。
```
ovirt-aaa-jdbc-tool group delete group-name
```
次の例は、グループ・アカウントを削除する方法を示しています。
```
# ovirt-aaa-jdbc-tool group delete group3
deleting group group3...
group deleted successfully
```

ユーザーおよびグループの問合せ

ovirt-aaa-jdbc-tool queryコマンドは、ユーザーおよびグループの情報の問合せに使用されます。ユーザーおよびグループの問合せに使用できるオプションの完全なリストを表示するには、ovirt-aaa-jdbc-tool query --helpコマンドを実行します。

ユーザー・アカウントまたはグループ・アカウントのすべての詳細の一覧表示

すべてのアカウント情報を一覧表示するには:

Managerを実行しているホストにログインします。

アカウントの詳細を表示します。

すべてのユーザー・アカウントの詳細を一覧表示します。

ovirt-aaa-jdbc-tool query --what=user

次の例は、ovirt-aaa-jdbc-tool query --what=userコマンドからの出力例を示しています。

# ovirt-aaa-jdbc-tool query --what=user
-- User test2(35e8b35e-2320-45da-b59e-1076b521d13f) --
Namespace: *
Name: test2
ID: 35e8b35e-2320-45da-b59e-1076b521d13f
Display Name:
Email:
First Name: Jane
Last Name: Doe
Department:
Title:
Description:
Account Disabled: false
Account Locked: false
Account Unlocked At: 1970-01-01 00:00:00Z
Account Valid From: 2019-09-06 16:51:32Z
Account Valid To: 2219-09-06 16:51:32Z
Account Without Password: false
Last successful Login At: 2019-09-06 17:12:08Z
Last unsuccessful Login At: 1970-01-01 00:00:00Z
Password Valid To: 2025-08-01 20:00:00Z
-- User admin(89559d7f-3b48-420b-bd4d-2790122c199b) --
Namespace: *
Name: admin
ID: 89559d7f-3b48-420b-bd4d-2790122c199b
Display Name:
Email:
First Name: admin
Last Name:
Department:
Title:
Description:
Account Disabled: false
Account Locked: false
Account Unlocked At: 2019-03-07 11:09:07Z
Account Valid From: 2019-01-24 21:18:11Z
Account Valid To: 2219-01-24 21:18:11Z
Account Without Password: false
Last successful Login At: 2019-09-06 18:10:11Z
Last unsuccessful Login At: 2019-09-06 18:09:36Z
Password Valid To: 2025-08-01 20:00:00Z
-- User test1(e75956a8-6ebf-49d7-94fa-504afbfb96ad) --
Namespace: *
Name: test1
ID: e75956a8-6ebf-49d7-94fa-504afbfb96ad
Display Name:
Email: jdoe@example.com
First Name: John
Last Name: Doe
Department:
Title:
Description:
Account Disabled: false
Account Locked: false
Account Unlocked At: 1970-01-01 00:00:00Z
Account Valid From: 2019-08-29 18:15:20Z
Account Valid To: 2219-08-29 18:15:20Z
Account Without Password: false
Last successful Login At: 1970-01-01 00:00:00Z
Last unsuccessful Login At: 1970-01-01 00:00:00Z
Password Valid To: 2025-08-01 20:00:00Z

すべてのグループ・アカウントの詳細をリストします。ovirt-aaa-jdbc-tool query --what=group

次の例は、ovirt-aaa-jdbc-tool query --what=groupコマンドからの出力例を示しています。

# ovirt-aaa-jdbc-tool query --what=group
-- Group group2(d6e0b913-d038-413a-b732-bc0c33ea1ed4) --
Namespace: *
Name: group2
ID: d6e0b913-d038-413a-b732-bc0c33ea1ed4
Display Name:
Description:
-- Group group1-1(e43ba527-6256-4c29-bd7a-0fb08b990b72) --
Namespace: *
Name: group1-1
ID: e43ba527-6256-4c29-bd7a-0fb08b990b72
Display Name:
Description:
-- Group group1(f23ca27c-1d6a-4f6e-8c3e-1e03e8e56829) --
Namespace: *
Name: group1
ID: f23ca27c-1d6a-4f6e-8c3e-1e03e8e56829
Display Name:
Description:

フィルタされたアカウントの詳細の一覧表示

アカウント情報を一覧表示するときにフィルタを適用するには:

Managerを実行しているホストにログインします。

--patternキーワードを使用してアカウントの詳細をフィルタします。

パターンに基づいてユーザー・アカウントを一覧表示します。

ovirt-aaa-jdbc-tool query --what=user --pattern=attribute=value

次の例は、ovirt-aaa-jdbc-tool queryコマンドの出力をフィルタ処理して、文字Jで始まるユーザー・アカウントの詳細のみを表示する方法を示しています。

# ovirt-aaa-jdbc-tool query --what=user --pattern="firstName=J*"
-- User test1(e75956a8-6ebf-49d7-94fa-504afbfb96ad) --
Namespace: *
Name: test1
ID: e75956a8-6ebf-49d7-94fa-504afbfb96ad
Display Name:
Email: jdoe@example.com
First Name: John
Last Name: Doe
Department:
Title:
Description:
Account Disabled: false
Account Locked: false
Account Unlocked At: 1970-01-01 00:00:00Z
Account Valid From: 2019-08-29 18:15:20Z
Account Valid To: 2219-08-29 18:15:20Z
Account Without Password: false
Last successful Login At: 1970-01-01 00:00:00Z
Last unsuccessful Login At: 1970-01-01 00:00:00Z
Password Valid To: 2025-08-01 20:00:00Z
-- User test2(35e8b35e-2320-45da-b59e-1076b521d13f) --
Namespace: *
Name: test2
ID: 35e8b35e-2320-45da-b59e-1076b521d13f
Display Name:
Email:
First Name: Jane
Last Name: Doe
Department:
Title:
Description:
Account Disabled: false
Account Locked: false
Account Unlocked At: 1970-01-01 00:00:00Z
Account Valid From: 2019-09-06 16:51:32Z
Account Valid To: 2219-09-06 16:51:32Z
Account Without Password: false
Last successful Login At: 2019-09-06 17:12:08Z
Last unsuccessful Login At: 1970-01-01 00:00:00Z
Password Valid To: 2025-08-01 20:00:00Z

パターンに基づいてグループを一覧表示します。

ovirt-aaa-jdbc-tool-query --what=group --pattern=attribute=value

次の例は、ovirt-aaa-jdbc-tool queryコマンドの出力をフィルタ処理して、説明documentation-groupに一致するグループ・アカウントの詳細のみを表示する方法を示しています。

# ovirt-aaa-jdbc-tool query --what=group --pattern="description=documentation-group"
-- Group group1(f23ca27c-1d6a-4f6e-8c3e-1e03e8e56829) --
Namespace: *
Name: group1
ID: f23ca27c-1d6a-4f6e-8c3e-1e03e8e56829
Display Name:
Description: documentation-group

アカウント設定の管理

ovirt-aaa-jdbc-tool settingsコマンドを使用して、デフォルトのアカウント設定を変更します。

デフォルトのアカウント設定を変更するには:

Managerを実行しているホストにログインします。
(オプション)使用可能なすべての設定を表示します。
```
ovirt-aaa-jdbc-tool setting show
```

目的の設定を変更します。

ovirt-aaa-jdbc-tool setting set --name=setting-name --value=value

スケジュール・ポリシーの作成

Managerによって提供されるデフォルト・セットで使用できないスケジューリング・ポリシーが必要な場合は、カスタム・スケジューリング・ポリシーを作成できます。

ノート:

デフォルトのスケジューリング・ポリシーおよび概念情報については、「Oracle Linux Virtualization Manager: アーキテクチャおよびプランニング・ガイド」の「高可用性および最適化」を参照してください。スケジュール・ポリシーおよびその他のポリシー・タイプの詳細は、「oVirtドキュメント」の「管理ガイド」を参照してください。

スケジューリング・ポリシーを作成するには:

「管理」をクリックしてから、「構成」を選択します。

「構成」ダイアログ・ボックスが開きます。
「スケジュール・ポリシー」をクリックします。
「新規」をクリックします。

「新規スケジューリング・ポリシー」ダイアログ・ボックスが開きます。
「名前」および「説明」フィールドに、ポリシーに適した名前と説明を入力します。
モジュールを絞り込みの場合:
- 「無効なフィルタ」セクションから「有効なフィルタ」セクションにモジュールをドラッグ・アンド・ドロップします。
- オプションで、フィルタ・モジュール名を右クリックし、「位置」の上にカーソルを置き、「最初」または「最終」を選択します。
重みモジュールの場合:
- 「無効な重み」セクションから「使用可能重み&ファクタ」セクションにモジュールをドラッグ・アンド・ドロップします。
- オプションで、プラス(+)とマイナス(-)を使用して、モジュールの重量を増減します。
ロード・バランサの場合:
- ロード・バランシング・ポリシーを選択します。
- ロード・バランシング・プロパティを選択し、プロパティ値を入力します。
- オプションで、プラス(+)とマイナス(-)を使用して、追加のプロパティを追加または削除します。
OKをクリックして、スケジューリング・ポリシーを作成します。